Dokument

FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
DIPLOMSKA NALOGA
VISOKOŠOLSKEGA STROKOVNEGA ŠTUDIJSKEGA PROGRAMA
PRVE STOPNJE
DANILO ŠKEDELJ
Digitally signed by
Danilo Skedelj
Date: 2014.05.21
20:14:42 CEST
FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
DIPLOMSKA NALOGA
OBVLADOVANJE TVEGANJ V ORGANIZACIJI
Mentor: izr. prof. dr. Boris Bukovec
Novo mesto, april 2014
Danilo Škedelj
IZJAVA O AVTORSTVU
Podpisani Danilo Škedelj, študent FIŠ Novo mesto, v skladu z določili statuta FIŠ izjavljam:

da sem diplomsko nalogo pripravljal samostojno na podlagi virov, ki so navedeni v
diplomski nalogi,

da dovoljujem objavo diplomske naloge v polnem tekstu, v prostem dostopu, na
spletni strani FIŠ oz. v digitalni knjižnici FIŠ,

da je diplomska naloga, ki sem jo oddal v elektronski obliki, identična tiskani verziji,

da je diplomska naloga lektorirana.
V Novem mestu, dne _________________
Podpis avtorja ________________________
POVZETEK
Vzpostavljen in učinkovito delujoč proces obvladovanja tveganj organizaciji omogoča, da se
le-ta osredotoča na svojo osnovno dejavnost in tako dosega predvideno poslovno uspešnost.
Krovno odgovornost za upravljanje nad tveganji v organizaciji prevzema vodstvo podjetja.
Uvedba in uporaba IT sistemov v znatni meri prinašata koristi na mnogih področjih
poslovanja, vendar istočasno vnašata nova, marsikdaj do sedaj nepoznana tveganja za
organizacijo.
Analiza tveganj je postopek, v katerem ocenimo verjetnost nastanka tveganj in njihovih
posledic ter določimo ukrepe, ki so potrebni za zagotavljanje doseganja ciljev.
Vpeljava RFID tehnologij novejše generacije omogoča organizacijam uvajanje čedalje bolj
avtomatiziranih poslovnih procesov. Pred uvedbo sistema RFID identifikacije v podjetju X se
izvede celovita analiza IT tveganj za izbrani sistem po metodologiji NIST SP 800-30.
KLJUČNE BESEDE: organizacija, tveganje, obvladovanje tveganj, informacijska tveganja,
RFID tehnologija.
ABSTRACT
An established and an efficient working process of risk management allows an organization to
focus on its basic activity and achieve intended business success. But it is the company's
management who is responsible for risk management governance.
Introduction and use of IT systems bring a lot of benefits to various business fields, but at the
same time also new, sometimes unknown risks for the organization.
A risk analyis is a procedure used to evaluate possible occurance of risks and their
consequences and to assign actions needed to achieve the goals set.
Introduction of RFID technologies of new generation helps organizations to initiate more
automatized business processes. Before the introduction of RFID identification system the
whole IT risk analysis for the chosen system is carried out by the methodology NIST SP 80030.
KEY WORDS: organisation, risk, enterprise risk management, IT risks, RFID technology.
KAZALO
1
UVOD................................................................................................................................. 1
2
POSLOVNA USPEŠNOST IN OBVLADOVANJE TVEGANJ ...................................... 3
3
2.1
Organizacija, kakovost in poslovna uspešnost ............................................................ 3
2.2
Organizacija in tveganja .............................................................................................. 6
2.3
Vrste tveganj v organizaciji ......................................................................................... 9
2.4
Obvladovanje tveganj ................................................................................................ 12
2.5
Upravljanje IT tveganj ............................................................................................... 14
2.6
Globalna informacijska infrastruktura ....................................................................... 16
STANDARDI, MODELI IN ORODJA ZA OBVLADOVANJE TVEGANJ
V ORGANIZACIJI .......................................................................................................... 17
3.1
Organizacija in standardi ........................................................................................... 17
3.2
Standard ISO/IEC 27005 ........................................................................................... 18
3.2.1
Družina standardov ISO/IEC 27000 .................................................................. 18
3.2.2
Razvoj in verzije standarda ISO/IEC 27005....................................................... 20
3.2.3
Povzetek vsebine standarda ................................................................................ 20
3.2.4
Aktivnosti procesa po ISO 27005 ....................................................................... 21
3.3
Metoda FMEA ........................................................................................................... 24
3.3.1
Korelacija med standardi ISO in metodo FMEA ............................................... 24
3.3.2
Predstavitev metode FMEA ................................................................................ 24
3.3.3
Identificiranje ciljev ............................................................................................ 25
3.3.4
Razdelitev tveganj po sorodnostih ...................................................................... 26
3.3.5
Proces izvedbe FMEA analize ............................................................................ 28
3.3.6
FMEA in obvladovanje tveganj v organizaciji ................................................... 29
3.4
Metoda Risk IT .......................................................................................................... 30
3.4.1
Združenje ISACA ................................................................................................ 30
3.4.2
Lastnosti metode Risk IT .................................................................................... 30
3.4.3
Kategorije, lastnosti in deležniki pri upravljanju IT tveganj ............................. 31
3.4.4
Proces izvedbe metodologije Risk IT ................................................................. 33
3.4.5
Povzetek metode Risk IT .................................................................................... 34
3.5
4
Metoda NIST SP 800-30 ........................................................................................... 34
3.5.1
Izdajatelj publikacije .......................................................................................... 34
3.5.2
Lastnosti metode NIST SP 800-3 ....................................................................... 35
3.5.3
Proces izvedbe metodologije NIST SP 800-30 ................................................... 35
3.5.4
Povzetek metode NIST SP 800-30 ...................................................................... 37
OBVLADOVANJE TVEGANJA NA PRIMERU UVEDBE IT SISTEMA S
POMOČJO METODE NIST SP 800-30 .......................................................................... 38
4.1
Organizacije in RFID identifikacija .......................................................................... 38
4.2
Prikaz trenutnega stanja............................................................................................. 38
4.3
Analiza trenutnega stanja .......................................................................................... 40
4.4
Predstavitev karakteristik obravnavanega IT sistema ............................................... 42
4.5
Identifikacija tveganj, groženj in ranljivosti izbranega IT sistema ........................... 44
4.6
Ukrepi za znižanje tveganosti sistema v celotni življenjski dobi .............................. 47
4.7
Plan obvladovanja tveganj......................................................................................... 48
4.8
Tabela analize tveganj ............................................................................................... 55
4.9
Predlogi za izboljšanje............................................................................................... 55
5
ZAKLJUČEK................................................................................................................... 56
6
LITERATURA IN VIRI .................................................................................................. 59
KAZALO SLIK
Slika 2.1: Proces upravljanja s tveganji ...................................................................................... 8
Slika 2.2: Vrste tveganj v organizaciji...................................................................................... 11
Slika 3.1: Proces pri upravljanju IT tveganj po ISO/IEC 27005 .............................................. 22
Slika 3.2: Medsebojni odnosi informacija-tveganje-kvaliteta v konceptu upravljanja ............ 29
Slika 3.3: IT tveganja v hierarhiji tveganj organizacije po Risk IT ......................................... 31
Slika 3.4: Načela upravljanja IT tveganj po Risk IT ................................................................ 32
Slika 4.1: Blok shema RFID kartice tehnologije 13,56 MHz ................................................... 42
Slika 4.2 : Blok shema sistema RFID identifikacije................................................................. 45
KAZALO TABEL
Tabela 3.1: Verzije standarda ISO/IEC 27005 ......................................................................... 20
Tabela 3.2: PDCA cikel in proces obvladovanja IT tveganj .................................................... 23
Tabela 3.3: Izdaje verzij metodologije NIST SP 800-30.......................................................... 35
Tabela 3.4: Koraki procesa izvedbe metodologije NIST SP 800-30 ........................................ 36
Tabela 4.1: SWOT analiza standardne 125 kHz RFID tehnologije ......................................... 41
Tabela 4.2: Ranljivost, grožnje, tveganja ................................................................................. 46
Tabela 4.3: Ovrednotenje verjetnosti tveganj ........................................................................... 48
Tabela 4.4: Analiza vpliva tveganja ......................................................................................... 51
Tabela 4.5: Ocenitev skupnega tveganja .................................................................................. 52
Tabela 4.6: Priporočila kontrole ............................................................................................... 53
1
UVOD
Predmet diplomske naloge je raziskovanje procesov obvladovanja tveganj v sodobni
organizaciji. Tveganja so sestavni del aktivnosti v organizaciji oziroma sestavni del
poslovanja v vsakem podjetju. Tveganja, ki nastopajo pri poslovanju organizacij, so po naravi
zelo dinamična, spremenljiva in visoko medsebojno odvisna. Naloga vsake organizacije je, da
tveganja učinkovito upravlja in obvladuje.
Dejstvo je, da se organizacijskim in poslovnim tveganjem zaradi nepredvidljivega okolja,
sprememb na trgih, hitrih sprememb v industriji in tehnologijah, sprememb v poslovni kulturi
in navsezadnje zaradi globalne konkurence na trgih dandanes ne moremo v celoti izogniti.
Lahko pa se upravljanja s tveganji lotimo sistematično in na podlagi pravih in pravočasnih
informacij in s tem povezanih aktivnosti tveganja obvladujemo v predhodno definiranih
okvirih. To nas največkrat privede do tega, da si postavimo za cilj vpeljavo sistematičnega
upravljanja s tveganji v organizaciji in tako zmanjšujemo nepredvidljivosti poslovnega okolja
in povečujemo zanesljivost uresničevanja postavljene poslovne strategije.
V nalogi je zajet pregled nad obvladovanjem posameznih vrst tveganj, ki so jim organizacije
izpostavljene. Glede obravnave posameznih tveganj je v nalogi poudarek na podrobnejši
obravnavi upravljanja z IT tveganji v organizaciji.
V zadnjem desetletju se je na področju upravljanja tveganj razvilo veliko orodij, modelov in
metodologij, namenjenih uporabi v vseh vrstah organizacij in za vsa področja obvladovanja
tveganj. Skladno z razvojem informacijskih tehnologij in naraščanjem njihovega pomena za
sodobno organizacijo so se razvili in oblikovali tudi standardi in različne metodologije, ki
posebej natančno zadevajo problematiko upravljanja informacijskih (IT) tveganj.
Na osnovi teoretičnih spoznanj sem v nalogi opisal problematiko obvladovanja tveganj v
organizaciji. Prikazal in medsebojno sem primerjal najpogostejše standarde, metode in orodja,
ki se uporabljajo pri postopkih obvladovanja tveganj, s poudarkom na IT tveganjih.
Informacijska tehnologija (IT) danes predstavlja gonilno silo sodobne organizacije na njeni
1
poti v družbo znanja in zato se namenja velika pozornost pravilnemu in neprekinjenemu
delovanju IT sistemov in procesom.
Diplomska naloga predstavlja poskus, kako na primeru IT sistema, pred njegovo vpeljavo v
produkcijsko okolje, čim bolje celostno zajeti vprašanja obvladovanja IT tveganj. IT sistem
sem izbral iz danes aktualnega področja RFID identifikacije in predvidel vpeljavo v IT okolje
podjetja X. Konkretno sem izbral vpeljavo sistema RFID identifikacije, ki podpira upravljanje
danes aktualne RFID tehnologije brezkontaktnih pametnih kartic v organizaciji X.
Diplomska naloga lahko kot osnova koristi tudi ostalim organizacijam, ki se pri svojem delu
srečujejo z obvladovanjem IT tveganj in načrtujejo vpeljavo ustrezne metodologije za
upravljanje teh tveganj.
V teoretičnem delu naloge sem na podlagi analitično-teoretičnega študija strokovne literature,
člankov, internetnih virov, objav in publikacij opredelil relacije med poslovno uspešnostjo in
obvladovanjem tveganj v organizaciji. Na osnovi teoretičnih spoznanj domače in tuje
literature sem opredelil vlogo obvladovanja tveganj v organizaciji, razdelitev in vrste tveganj
ter njihovo obladovanje. V nadaljevanju naloge sem predstavil ažurne standarde, ki
opredeljujejo področje obvladovanja tveganj ter metode in orodja, s katerimi se danes rešuje
vprašanje obvladovanja IT tveganj.
V drugem delu naloge sem na podlagi izbrane metodologije NIST SP 800-30 izvedel proces
postopka obvladovanja tveganj v IT sistemu za RFID identifikacijo v podjetju X.
Na koncu naloge sem podal še predloge za izboljšanje stanja na področju obvladovanja
tveganj v organizaciji.
Pričakovani rezultat diplomske naloge je izvedba celostnega postopka za obvladovanje IT
tveganj za izbrani IT sistem RFID identifikacije po metodologiji NIST SP 800-30. Izvedeni
postopek obvladovanja IT tveganj se bo lahko kot osnovo uporabilo tudi v ostalih IT
sistemih v organizaciji. Ustrezno urejeno področje obvladovanja IT tveganj v podjetju
povečuje njegovo konkurenčnost, zmanjšuje ranljivost in omogoča doseganje zastavljenih
strateških ciljev.
2
Prvo poglavje v diplomski nalogi, ki je uvodno, predstavi opredeljeno problematiko in namen
proučevanja. Sledi opredelitev ciljev, pričakovanih rezultatov in izbrane metodologije za
izvedbo naloge.
V drugem poglavju je predstavljena poslovna uspešnost organizacije, tveganja, ki jim je le-ta
izpostavljena in s tem povezano področje obvladovanja tveganj. Sledita točki, ki obravnavata
upravljanje IT tveganj in pomen globalne informacijske infrastrukture.
Tretje poglavje je namenjeno standardom, modelom in orodjem za obvladovanje tveganj v
organizaciji. V njem sta opisana razvoj in vsebina mednarodnega standarda ISO/IEC 27005,
ki podaja smernice na področju upravljanja informacijske varnosti. V nadaljevanju poglavja
so predstavljene tri uveljavljene in pogosto uporabljene metode, s katerimi organizacije
obvladujejo svoja tveganja. Predstavljene so metode FMEA, RiskIT in NIST SP 800-30.
Četrto poglavje predstavlja osrednje poglavje diplomske naloge, v katerem je s pomočjo
izbrane metode NIST SP 800-30 predstavljeno obvladovanje IT tveganj na primeru IT
sistema, ki se uvaja v organizacijo.
V petem poglavju, ki je zaključno poglavje diplomske naloge, so podani sklepi glede
obravnavane tematike ter zbrani predlogi za izboljšanje obvladovanja tveganj v organizaciji.
2
2.1
POSLOVNA USPEŠNOST IN OBVLADOVANJE TVEGANJ
Organizacija, kakovost in poslovna uspešnost
V okviru organskega, tako imenovanega živega pogleda
na organizacijo, lahko termin
organizacija opredelimo kot vsako človeško združevanje z namenom, da bi se dosegli skupni
cilji. Če gledamo na organizacijo s tehnološkega zornega kota, pa je organizacija podobna
mehanizmu – ima splošne značilnosti popolnega stroja. V nadaljevanju se bomo omejili na
organizacijo predvsem kot na konkretno gospodarsko organizacijo oziroma podjetje, ki je
ustanovljeno za uresničevanje postavljenih primarnih in sekundarnih ciljev. Kot primarni cilj
3
organizacije štejemo dolgoročno doseganje dobička, medtem ko so sekundarni cilji
uravnoteženo izpeljani iz primarnih (ohranitev podjetja, varna naložba za investitorje, razvoj
podjetja, zadovoljevanje potreb družbe, obveznosti podjetja do okolja, urejanje področja
človeških virov, odnos do ekoloških vprašanj …).
Avtorja Kovačič in Bosilj Vukšić podajata glede na izsledke Porterja naslednjo definicijo
organizacije: »Vsaka organizacija je pravzaprav zbirka ali zaporedje aktivnosti, namenjenih
snovanju in razvijanju, proizvajanju, nudenju in prodajanju, dostavljanju in vzdrževanju
njenih izdelkov ali storitev« (Kovačič in Bosilj Vukšić 2005, str. 30).
Vsaka organizacija mora jasno definirati svojo organizacijsko strategijo, ki je sinonim za
strateško načrtovanje ali strateški management. Poslovna strategija izhaja iz poslanstva, vizije
in strateških ciljev podjetja. Upošteva strategije posameznih poslovnih področij (poslovnih
funkcij ali poslovnih procesov) in je opredeljena v strateškem poslovnem načrtu. Lahko
zaključimo, da sta razvijanje in spremljanje oziroma prilagajanje poslovne strategije trajni in
najpomembnejši nalogi vodstva podjetja. Poslovna strategija opredeljuje delovanje podjetja v
poslovnem okolju in posledično vpliva na njegovo konkurenčnost. Spremembe poslovne
strategije organizacije se udejanjajo in kažejo skozi spremembe njenega poslovnega modela
in poslovnih procesov (Kovačič in Bosilj Vukšić 2005, str. 17).
Poslovni model organizacije lahko opredelimo kot model delovanja v okolju, kjer le-ta deluje.
Pri tem pa pod okoljem zajamemo vse, kar vpliva na značilnosti poslovnih procesov podjetja,
kot so na primer odnosi s kupci, dobavitelji ali podizvajalci. Poslovni model je izhodišče za
postavitev poslovne arhitekture organizacije in predstavlja nadgradnjo in realizacijo
predhodno postavljene poslovne vizije in strategije (Kovačič in Bosilj Vukšić 2005, str. 17–
22).
Na nek poslovni proces v organizaciji lahko gledamo kot na skupek logično povezanih
operativnih postopkov, nadzornih postopkov in aktivnosti, katerih posledica oziroma izid je
načrtovani izdelek ali storitev, ki jo nudi organizacija svojim odjemalcem na trgu. V strokovni
literaturi najdemo naslednjo definicijo poslovnega procesa: »Poslovni proces lahko
opredelimo tudi kot povezan nabor dejavnosti in nalog, ki imajo namen vhodnim elementom
v proces za naročnika ali kupca dodati uporabno vrednost na izhodni strani procesa. Proces ni
prepoznaven le po aktivnostih, ki jih opravljajo njegovi izvajalci, pač pa predvsem po
4
zaporedju dejavnosti in opravil, ki jih je potrebno izvesti, da bi na izhodni strani procesa
dobili predvidene rezultate« (Kovačič in Bosilj Vukšić 2005, str. 29).
Da organizacija dosega svoj osnovni cilj, to je dolgoročno doseganje dobička, se mora glede
na spreminjajoče se zahteve tržišča prilagajati preko stalnih sprememb s poudarkom na
obvladovanju in zagotavljanju kakovosti, ki organizaciji omogočata napredovanje in rast.
Zahteve glede kakovosti izdelkov in storitev, ki jih ponuja organizacija, postavlja kupec
oziroma tržišče. Same zahteve glede kakovosti izdelkov in storitev so lahko v splošnem
zapisane (zakonodajne zahteve, registracijske zahteve, licence, patenti …) ali pa pričakovane
(prilagoditev zahtev kupcev, pogodbe, standardi …). Organizacije pogosto zapišejo svojo
obvezo do kakovosti v predstavitvi podjetja, ki jo sestavljajo načela vizije, poslanstva,
strategije in vrednot.
V splošnem je kakovost skupek značilnosti in značilnih vrednosti nekega izdelka ali storitve
glede na njegovo primernost in izpolnjevanje točno določenih in predpostavljenih zahtev.
Crosby povzema, da je kakovost primernost za uporabo, medtem ko standard ISO navaja
kakovost kot skupek značilnosti objekta, ki se nanašajo na njegovo sposobnost, da zadovolji
izražene in pričakovane potrebe (Šostar 2000, str. 7–9).
V skladu z razvojem modelov poslovanja organizacij se je razvijal in spreminjal tudi pristop k
obvladovanju kakovosti izdelkov in storitev. Obvladovanje kakovosti se je časovno razvijalo
po naslednjih stopnjah: nadzor kakovosti, statistično obvladovanje kakovosti in celovito
obvladovanje kakovosti (Šostar 2000, str. 4).
Pojmovanje kakovosti je bilo pri začetnih stopnjah razvoja obvladovanja kakovosti usmerjeno
zgolj v nadzor kakovosti samih izdelkov. Za kakovost je bila zadolžena za to pristojna služba
v okviru proizvodnih procesov. S takšno organiziranostjo se je kakovost zgolj preverjalo, če
ustreza npr. predpisanim zahtevam in tehničnim standardom. Kakovosti izdelkov se ni moglo
izboljševati, niti se ni moglo poiskati vzrokov težav ali ponuditi rešitve za izboljšanje.
Predvsem s pomočjo podpore in vključitve statističnih metod in tehnik se je razvilo statistično
obvladovanje kakovosti. Začelo se je uvajanje postopkov vzorčevanja, ki je podalo sliko za
celoten proces ali serijo izdelkov. Sčasoma se je podpora statističnih metod uveljavila na
celotnem področju kakovosti, v celotni razvojni, produkcijski in življenjski fazi izdelka.
Razvoj organizacije in zahteve po čedalje večjem obvladovanju kakovosti so privedle do tega,
5
da se je področje obvladovanja kakovosti iz obravnave v zgolj proizvodnem procesu razširilo
na vse faze poslovnega procesa, in sicer od začetnih tržnih raziskav do poprodajnih aktivnosti.
Obvladovanje kakovosti ne postane zgolj domena tehničnih specialistov v proizvodnem
procesu, ampak obsega vse poslovne funkcije organizacije in predstavlja rezultat dela vseh
njenih zaposlenih. Celovito obvladovanje kakovosti lahko označimo za miselno revolucijo
pri vodenju organizacije. Takšno vodenje organizacije postavlja na prvo mesto kakovost,
dobiček pa kot dolgoročni cilj (Šostar 2000, str. 4).
Razvoj na področju obvladovanja kakovosti se znotraj organizacije razvija v smeri uvajanja
celovitega upravljanja kakovosti (TQM), ki vključuje širok nabor zaposlenih iz različnih
poslovnih funkcij. Smernice razvoja glede zagotavljanja in obvladovanja kakovosti kažejo v
smeri naraščajočega uvajanja in certificiranja različnih sistemov kakovosti.
Organizacija mora postaviti svoj sistem kakovosti, ki predstavlja skupek povezanih aktivnosti,
izvajanja navodil (postopki, standardi, dobre prakse …) in kontrol kakovosti. Tako
vzpostavljen sistem TQM omogoča organizaciji, da na trgu stalno nudi želeno kakovost
izdelkov ali storitev. Poleg aktivnega sodelovanja vseh zaposlenih pa današnje gledanje na
kakovost vključuje še osredotočenost na kupca, na usposabljanje zaposlenih skozi celotno
delovno obdobje, inovativno razmišljanje in vključitev stalnih izboljšav.
2.2
Organizacija in tveganja
Kot smo zaključili v predhodnem poglavju, se poslovna strategija organizacije spreminja, kar
posledično pomeni, da se s tem spreminjajo že obstoječa tveganja in se hkrati vnašajo v delo
organizacije nova tveganja. Ker so določevanje, spremljanje in spreminjanje poslovne
strategije permanentne naloge vodstva podjetja, je s tem povezano obvladovanje tveganj
enako stalna naloga na najvišjem nivoju organizacije.
Procesi internacionalizacije in globalizacije so konkurenčni boj med organizacijami še
povečali. Omenjeni procesi za organizacije ne pomenijo samo zaostrovanja na področju
konkurenčnosti, pomenijo tudi zahtevo po iskanju in uporabi orodij ter metod za zavarovanje
pred morebitnimi predvidljivimi in nepredvidljivimi krizami ter tveganimi dogodki v
notranjem in zunanjem poslovnem okolju. Ta tveganja se označi kot poslovna tveganja
organizacije (Bertoncelj in drugi 2011, str. 90).
6
Sodobne organizacij kljub razviti IT tehnologiji in podatkom, ki so jim na voljo, ne morejo z
gotovostjo predvideti sprememb v prihodnosti. Organizacije se v vseh fazah življenjskega
cikla, od nastanka, utrjevanja, rasti, preživetja in zatona, srečujejo z različnimi oblikami
tveganj in različnimi vrstami kriz. To je eden temeljnih problemov in glavni razlog, da v
organizacijah skušajo načrtno obvladovati poslovna tveganja (Bertoncelj in drugi 2011, str.
91).
Še posebno pomembno je področje učinkovitega upravljanja s tveganji za mednarodno
(multinacionalno) delujoče organizacije, ki poslujejo v zaostrenem globalnem okolju, ki ga
vsakodnevno pretresajo različni dogodki v notranjem in zunanjem okolju. Dogodki, kot so na
primer selitev proizvodnje in storitev, zaostrovanje konkurence na trgih, zasičenost trgov,
zrelost panog, izbruh vojn, pojav različnih stavk, finančni in borzni zlomi, naravne katastrofe,
zviševanje cen surovin in energentov, pojav in uvedba novih tehnologij, nujno zahtevajo od
organizacij spremembe pri njihovem upravljanju. Organizacije se v boju za pridobitev čim
večjih tržnih deležov, izboljšanje svojega konkurenčnega položaja in posledično povečanje
dobička nenehno soočajo z dilemo, kolikšna poslovna tveganja so še pripravljene sprejeti
(Bertoncelj in drugi 2011, str. 92).
Tveganje lahko v splošnem opredelimo kot negotovost nastanka dogodka, ki lahko negativno
ali pozitivno vpliva na doseganje strateških, operativnih in finančnih ciljev organizacije. V
primeru uresničitve dogodkov, ki povzročijo negativen vpliv na delovanje organizacije, se
lahko takšna tveganja pokažejo kot povečanje stroškov, podaljševanje rokov izvedbe,
neustrezna kakovost izdelkov in storitev, izguba ključnih trgov ali kupcev, izguba ključnih
kadrov in podobno. Vidimo, da tveganja vplivajo na veliko področij delovanja organizacije in
zato zahtevajo pozorno obravnavo znotraj vsake organizacije.
Upravljanje s tveganji se ne nanaša samo na skladnost z veljavnimi predpisi in standardi,
temveč tudi na način razumevanja poslovanja posamezne organizacije, kar ima dolgoročen
vpliv nanjo. Organizacija lahko v določenem tveganju prepozna tudi svojo priložnost za
zagotovitev konkurenčne prednosti. Glede upravljanja s tveganji mora vzpostaviti in
uporabljati sebi lastni proces, s katerim bo stalno in v zadanih okvirih upravljala s tveganji.
Na sliki 2.1 je prikazan proces upravljanja tveganj kot kontinuiran cikel štirih stalnih
aktivnosti.
7
Slika 2.1: Proces upravljanja s tveganji
Pregledovanje in
poročanje
Opredelitev tveganj
Proces upravljanja s tveganji
Odzivanja na tveganja
Ocenjevanje tveganj
Vir: Škedelj, lastni prikaz (2014)
V aktivnostih za opredelitev tveganj mora vodstvo organizacije najprej na najvišjem nivoju
opredeliti ustrezno politiko glede tveganj, organizacijsko strukturo in kadre, slabosti ter
potrebne izboljšave poslovnih procesov in poročanja. Tako analizo imenujemo strateška
analiza tveganj in predstavlja osnovo za oblikovanje ustrezne strategije za obvladovanje
tveganj na vseh ravneh organizacije. Ko imamo tveganja opredeljena, sledi njihova ocenitev,
kjer je končni cilj razporeditev tveganj glede na velikostni okvir, ki ga posamezno tveganje
povzroča. V tem koraku organizacija določi, katera tveganja so zanjo kritična in jih s
potrebnimi ukrepi želi obvladovati oziroma zmanjšati. Te ukrepe se določi v koraku odzivanja
na tveganja. Zadnji korak je namenjen pregledovanju vseh izvedenih aktivnosti in njihovih
posledic. Istočasno v tem koraku obveščamo vse deležnike, ki so vključeni v proces.
Z uvedbo in uporabo načrtnega obvladovanja poslovnih tveganj lahko organizacije zmanjšajo
stroške poslovanja, ker učinkoviteje načrtujejo, organizirajo, nadzirajo, informirajo in
odločajo o poslovnih funkcijah organizacije, ki so del celotnega poslovnega procesa. S takim
ravnanjem organizacije tudi pomembno zmanjšajo možnost za nastanek poslovne krize.
Organizacije bodo obdržale svoj konkurenčni položaj in se tako ohranile na trgu, če bodo
poleg upoštevanja osnovnih načel sodobnega poslovanja znale tudi uspešno uporabljati
inštrumente načrtnega obvladovanja predvidljivih in nepredvidljivih poslovnih tveganj, ki so
odsev nastalih globalnih razmer (Bertoncelj in drugi 2011, str. 90).
8
Ob uspešnem izvajanju procesa upravljanja tveganj lahko organizacija doseže konkurenčne
prednosti, ki se kažejo kot hitrejše in lažje odločanje vodstva, manjša je možnost nastanka
nepredvidljivih dogodkov in s tem povezanimi stroški, hitrejše in učinkovitejše je ukrepanje v
primeru predvidljivih ali nepredvidljivih dogodkov. Prednost je tudi v tem, da organizacija
pridobi večjo sledljivost in pozornost, namenjeno ukrepom in akcijam za obvladovanje in
zmanjševanje tveganj. Na ta račun lahko postavimo pogoje za možnost prevzemanja večjega
tveganja za boljše rezultate oziroma poslovni rezultat. V kolikor uspe organizacija
obvladovanje tveganj povezati z vzpostavljeno organizacijsko kulturo, pa lahko računa na
uspešnejše izvajanje pobud za izboljšave s strani svojih zaposlenih in boljšo vpetost v timsko
delo ter izboljšanje informiranosti pri prevzemanju tveganj in odločanju.
Avtorji, ki raziskujejo to področje, povzemajo: »Z načrtnim obvladovanjem poslovnih tveganj
organizacija oblikuje učinkovit nadzorni in varovalni sistem, ki jo obvaruje pred nevarnimi
učinki notranjega in zunanjega poslovnega okolja« (Bertoncelj in drugi 2011, str. 91).
Družbenoekonomski trendi kažejo, da se bodo poslovna tveganja v notranjem in zunanjem
okolju, zlasti pa v mednarodnem poslovanju, s časom še povečevala, zato je poslovno
smiselno, da se organizacije odločijo za dosledno uporabo procesa načrtnega obvladovanja
tveganj.
2.3
Vrste tveganj v organizaciji
V strokovni literaturi, ki obravnava področje upravljanja tveganj v organizaciji, srečamo kot
najbolj osnovno delitev tveganj na zunanja in notranja tveganja. Zunanja tveganja so tveganja
zaradi specifike okolja, v katerem se nahaja organizacija. Zunanje okolje predstavlja vse
deležnike, ki vplivajo na organizacijo pri njenem delovanju (Berk in drugi 2005, str. 181).
Nekatera izmed pomembnejših zunanjih tveganj so (Bertoncelj in drugi 2011, str. 95):
-
Tveganja kot posledica naravnega okolja (vremenski dejavniki, naravne katastrofe),
-
Tveganja zaradi pravnega in regulatornega okolja (spremembe zakonodaje, predpisov,
pogodbena tveganja, lastniška tveganja, kraje),
-
Tveganja zaradi družbenega okolja (politični dejavniki, nasprotovanje javnosti, civilne
iniciative, kulturne razlike),
-
Tveganja zaradi ekonomskega okolja (stabilnost gospodarstva v okviru širše regije ali
države, stabilnost poslovnega področja),
9
-
Tehnološka tveganja (uporaba novih tehnologij in tehnik, zastarelost ali neprimernost
obstoječih tehnologij),
-
Tveganja zaradi dobaviteljev (zakasnitve v dobavni verigi, cena dobavljenih surovin ali
elementov, neprimerna kakovost dobavljenih surovin ali elementov),
-
Tržna tveganja (slabo sodelovanje s končnimi odjemalci, spremembe zahtev s strani
kupcev, nezadovoljstvo kupcev z izdelkom ali storitvijo v okviru celotne življenjske dobe
izdelka).
Notranja tveganja pa se generirajo preko vseh deležnikov v okviru same organizacije.
Nekatera pomembnejša notranja tveganja za organizacijo predstavljajo (Bertoncelj in drugi
2011, str. 96):
-
Proizvodna tveganja (neustrezna kvaliteta izdelkov ali storitev, neučinkovita kontrola
kakovosti, izpad proizvodnje, slabo povezane aktivnosti v proizvodnem procesu),
-
Tveganja, povezana z upravljanjem človeških virov (izguba ključnih vodstvenih ali
razvojnih
kadrov,
pomanjkljivo
izobraževanje
zaposlenih,
prešibka
pripadnost
zaposlenih),
-
Tveganja zaradi uvedbe novih projektov (negotov razvoj novih izdelkov ali tehnologij,
neuspešno ali nepravočasno dokončanje projektov),
-
Informacijska tveganja (uporaba nepopolnih informacij, slab pretok informacij znotraj
ustroja organizacije).
Tveganja, ki učinkujejo na organizacijo, lahko prikažemo tudi na osnovi združevanja tveganj
v posamezne skupine, ki imajo nek celosten vpliv na organizacijo. V literaturi ni enotnih
meril za takšno klasifikacijo, saj tudi v realnosti ne vplivajo vsa tveganja v enaki meri na
posamezno organizacijo oziroma jim organizacije glede na svoje delovanje ne pripisujejo
enakega pomena. Primer klasifikacije tveganj na posamezne skupine, ki vplivajo na
organizacijo, je prikazan na sliki 2.2.
10
Slika 2.2: Vrste tveganj v organizaciji
Tveganja
Strateška
tveganja
- Ekonomska tveganja
- Industrijska tveganja
- Transakcijska tveganja
- Socialna tveganja
- Tehnološka tveganja
- Politična tveganja
- Organizacijska tveganja
- IT tveganja
Operativna
tveganja
Regulatorna
tveganja
- Okoljska tveganja
- Pravna tveganja
- Finančna tveganja
- Zakoni in predpisi
- Tveganja neprekinjenega delovanja
- Tveganja kontrol in
inšpekcij
- Komercialna tveganja
- Projektna tveganja
- Patenti, licence
- Tveganja upravljanja s človeškimi viri
- Tveganja zdravja in varnosti pri deluž
- Lastniška tveganja
- Tveganja izgube ugleda
- Varnostna tveganja
-
Vir: prirejeno po Epstein in Rejc Buhovac (2006, str. 8)
Za strateška tveganja je skupno, da neposredno vplivajo na sposobnost doseganja strateških
ciljev organizacije. Operativna tveganja predstavljajo riziko za doseganje predpisanih
operativnih, delovnih postopkov, kar lahko povzroči npr. zastoj v delu organizacije.
Regulatorna tveganja pa različna tveganja s strani zakonodaje in različnih vrst regulativ. IT
tveganja so del poslovnih tveganj oziroma strateških tveganj, ker zaradi svoje razvejanosti
možnih vplivov na poslovanje celotne organizacije in možnih posledic ne predstavljajo zgolj
operativnih tveganj. Razlog za takšno opredelitev je v dejstvu, da so IT procesi dandanes
vključeni v vsako poslovno funkcijo v podjetju in je njihovo nemoteno delovanje ključno za
doseganje postavljenih ciljev podjetja. Iz tega lahko potegnemo sklep, da je potrebno IT
tveganja obravnavati kot poslovna oz. strateška tveganja organizacije. Upravljanje IT tveganj
mora biti skladno s potrebami, usmeritvami in okoljem, v katerem organizacija deluje.
11
2.4
Obvladovanje tveganj
Kot smo zaključili v predhodnem poglavju, organizacija ni izolirana celota, ampak je vpeta v
notranje in zunanje okolje, ki se zaradi množice raznih vzrokov stalno spreminja. Te
aktivnosti okolja pa delujejo na organizacijo kot različne vrste tveganj. Naloga organizacije
je, da se spoprime s temi tveganji in jih obvladuje z aktivnostjo, ki jo imenujemo proces
obvladanja tveganj.
Poslovna tveganja zajemajo širok spekter različnih dejavnikov tveganj, ki so nevarni za
poslovanje organizacije in izhajajo tako iz notranjega kot iz zunanjega okolja organizacije.
Načrtno obvladovanje tveganj (angl. Risk management) je načrt korakov, ki so potrebni za
zmanjšanje možnosti nastanka tveganja in s tem posledičnih gospodarskih škod (Bertoncelj in
drugi 2011, str. 93).
Proces obvladovanja tveganj ni enkratno ali začasno dejanje znotraj organizacije ali njenega
dela, ampak je ponavljajoč proces, ki je neomejen. V takšno definicijo nas postavlja poslovno
okolje, ki se neprestano spreminja, nove grožnje in ranljivosti, ki se lahko pojavljajo v
vsakodnevnem obsegu.
V organizaciji z vzpostavitvijo načrtnega obvladovanja tveganj kvalitativno in kvantitativno
izmerimo poslovna tveganja v notranjem in zunanjem okolju. Sledi analiza, katera tveganja je
racionalno zavarovati ali prenesti na druge nosilce po vrstah ali skupinah. Uvedba sistema
načrtnega obvladovanja tveganj vodi do nižjih stroškov, boljšega postopka nadzora celotnega
poslovnega procesa in sledenja zastavljeni poslovni strategiji (Bertoncelj in drugi 2011, str.
92).
Proces obvladovanja tveganj v organizaciji zajema naslednje temeljne aktivnosti (Bertoncelj
in drugi 2011, str. 93):
-
Določitev tveganj:
Za prepoznavo potencialnih tveganj se izdela seznam tveganj, tako da se v organizaciji
pregleda vsa njena področja delovanja. Sistematično se analizira celoten proces, na vseh
ravneh delovanja. Cilj je poiskati najpomembnejša tveganja.
12
-
Ocenjevanje tveganj:
Za vsako prepoznano tveganje je potrebna izvedba njegovega ovrednotenja, ki zajema oceno
verjetnosti povzročitve škode in posledičnih gospodarskih posledic.
-
Postavitev ciljev:
Organizacija si glede na postavljene poslovne cilje prilagodi cilje načrtnega obvladovanja
tveganj, kar pomeni, da določi želeno raven varnosti po posameznih področjih delovanja.
Tveganja se ovrednoti glede na razmerje med stroški in koristjo.
-
Plan ukrepov:
Določijo se potrebni ukrepi za zmanjševanje tveganj in stroški, ki so povezani s tem. V tem
koraku se poiščejo tudi morebitne alternative glede ukrepov.
-
Odločanje:
V kolikor je odločitev sprejetje tveganj, lahko k temu pristopimo pasivno, torej tveganja
enostavno sprejmemo, ali pa k njim pristopimo aktivno in izvedemo plan, ki je pripravljen za
ukrepanje v primeru uresničitve. Pri zmanjševanju tveganj z izogibanjem delujemo na
odstranitev vzroka, ki povzroča tveganja, vendar se pogosto srečamo z dilemo, kolikšni
stroški nastanejo za organizacijo za odstranitev tveganja. Nekaterim tveganjem se
organizacija enostavno ne more izogniti ali pa so stroški za njihovo odstranitev pogosto
previsoki. Zelo pogost ukrep zmanjševanja tveganj je znižanje verjetnosti dogodka ali pa
ublažitev posledic, če že pride do same uresničitve tveganj. Pri takšnem načinu ukrepanja
organizacija izvede dodatne aktivnosti na področju planiranja in ukrepanja, investira v boljšo
opremo in tehnologijo, poišče pomoč zunanjih strokovnjakov za posamezna področja, se
zateče k uporabi preizkušenih postopkov in dobrih praks, se odloči za zavarovanja ali pa se
odloči za prenos tveganj na druge deležnike preko pogodb. Vodstvo podjetja kot odgovorni
dejavnik za upravljanje s tveganji mora zagotoviti pogoje za dobro pripravo planov, vključiti
zaposlene v njihovo pripravo in poskrbeti za dobro komuniciranje med vsemi ravnmi znotraj
organizacije.
Obvladovanje tveganj je pomembno tudi pri načrtovanju, vodenju in izvedbi enkratnih,
neponovljivih dogodkov v organizaciji. Tu so mišljeni predvsem projekti na različnih ravneh
in s tem povezano projektno vodenje v organizaciji.
13
Pri zagotavljanju funkcije nadzora tveganj in ukrepanju v primeru njihove pojavitve je za
organizacijo ključno izvajanje kontinuiranega procesa spremljanja tveganj ter pravočasno in
učinkovito ukrepanje ob pojavitvi tveganj. Zaradi obsežnosti področja upravljanja s tveganji
je v organizaciji smiselna vključitev spremljanja in dokumentiranja tega področja v
informacijski sistem.
Pričakuje se, da se struktura in velikost organizacije s časom spreminjata, prav tako se
spreminja proces upravljanja s tveganji, ki mora skupaj z ostalimi procesi zagotavljanja IT
varnosti slediti strateškim in poslovnim potrebam organizacije.
2.5
Upravljanje IT tveganj
Informacijsko varnost lahko v splošnem opredelimo kot varstvo informacij in informacijskih
sistemov pred nepooblaščenim dostopom, uporabo, razkritjem, ločitvijo, spremembo ali
uničenjem, in to ne glede na obliko zapisa informacije. Bistvo mehanizmov zaščite
informacijske varnosti na različnih nivojih (fizični, osebni in organizacijski nivo) je, da
akterjem, ki imajo posamezne vloge na sistemih, pove, kako uporabljati IT sisteme, da se
zagotovi informacijska varnost v okviru organizacije (Andress 2011, str. 21).
Dostop do zaščitenih informacij v organizaciji mora biti omejen na zaposlene, ki imajo
pooblastilo za dostop do teh informacij. Ker so informacije v veliki večini hranjene na IT
strojni in programski opremi, mora ravno tako tudi vsa informacijska infrastruktura imeti
vzpostavljene mehanizme za kontroliran dostop do zaščitenih informacij. Dovršenost in
restriktivnost mehanizmov za nadzor dostopa do informacijskih sistemov in informacij morata
biti enakovredni vrednosti zaščitene informacije – bolj občutljiva oziroma pomembna kot je
informacija, ostrejši morajo biti mehanizmi nadzora. Izvedba identifikacije in avtorizacije za
dostop do informacij in informacijskih storitev se začne pri administrativnih politikah in
postopkih. Varnostna politika na nivoju organizacije predpisuje, katere informacije in
informacijske storitve so lahko dostopne, s strani koga in pod katerimi pogoji.
Vsi nadaljnji mehanizmi za nadzirani dostop in njihova vzpostavitev ter kontrola so nato
oblikovani za uveljavljanje te predpisane politike. Varnostna politika in drugi varnostni
nadzori morajo biti podprti s strani vodstva organizacije, da se doseže zahtevana učinkovitost.
14
Vrednost vsake informacije izvira iz treh glavnih lastnosti ali kvalitet: zaupnost (ang.
confidentiality), celovitost (ang. integrity) in razpoložljivosti (ang. availability) (Andress
2011, str. 25).
Princip zaupnosti lahko opredelimo kot zagotovilo zaščite zaupnih informacij pred
nepooblaščenim slučajnim ali namernim odkritjem in kot zagotovilo, da so informacije
posredovane naprej zgolj akterjem (oseba, institucija, sistem …), ki so pooblaščeni za dostop
do teh informacij.
Celovitost v okviru IT varnosti pomeni, da informacije in podatki ne smejo biti ustvarjeni,
spremenjeni ali uničeni brez predhodne avtorizacije. Izguba nad celovitostjo podatkov je
tipičen primer za incidente v zvezi s nenamernim ali zlonamernim izbrisom podatkovnih
datotek.
Princip IT razpoložljivosti pomeni, da IT sistem varno obdela informacije z vsemi potrebnimi
in zahtevanimi kontrolami, da so informacije razpoložljive in pravilno delujoče, ko je to
potrebno.
IT tveganje opredelimo kot verjetnost, da se v poslovnem okolju zgodi nekaj slabega, kar
povzroči škodo na informacijski pridobitvi ali pa lahko povzroči izgubo te informacijske
pridobitve.
Ranljivost opredelimo kot šibkost IT sistema ali procesa, ki lahko ogrozi ali povzroči škodo
na informacijski pridobitvi. Grožnjo opredelimo kot nekaj, kar ima potencial za povzročitev
škode.
Če skupaj povzamemo zgoraj navedene termine: tveganje, ranljivost, grožnjo, lahko
definiramo, da tveganje ustvarja verjetnost, da bo grožnja izrabila ranljivost IT sistema ali
procesa za povzročitev škode. Posledice nastopijo, ko se verjetnost uresniči in grožnja izrabi
ranljivost ter povzroči škodo. V kontekstu informacijskih tveganj je takšna neželena posledica
izguba načrtovane razpoložljivosti, celovitosti ter zaupnosti informacijske pridobitve oz.
sistema, izven informacijskih okvirov pa se lahko taka posledica kaže kot izguba dobička,
izguba lastninske pravice, škodljiv vpliv na ljudi, okolje in podobno.
15
Upravljanje z IT tveganji v organizaciji predstavlja zelo širok proces, ki izhaja iz dejstva, da
so informatika in informacijski sistemi zelo široko in tesno vpeti v vse poslovne funkcije in
delovanje sodobne organizacije. IT tveganja ublažimo z vključitvijo različnih tipov kontrol.
Upravne kontrole ali proceduralne kontrole vsebujejo priznane in potrjene politike, postopke,
standarde, smernice, preglede, revizije in dobre prakse. Logične kontrole ali tehnične kontrole
uporabljajo IT programsko opremo in podatke za nadzor in kontrolo dostopa do
informacijskih sistemov. Na nivoju organizacije se določi politiko, ki podrobno definira npr.
politiko gesel, definiranje računalniških omrežij in njihovo dostopnost, enkripcijo podatkov,
varno shranjevanje podatkov in podobno na nivoju celotne organizacije. Fizične kontrole
nadzirajo in kontrolirajo delovna mesta in strojno opremo, kjer poteka izvedba informacijskih
pridobitev. Sem se vključujejo različni sistemi, ki preprečujejo ali opozarjajo neavtoriziran
dostop do informacijskih sistemov oziroma onemogočajo povzročitev različnih škod v
okoljih, kjer delujejo IT sistemi.
IT sistemi na mnogih področjih poslovanja organizacije prinašajo tako koristi kot tudi s tem
povezana tveganja, pri čemer pa se moramo zavedati, da IT tveganja niso zgolj tehnična
vprašanja in problematika nekaj strokovnjakov, oddelka ali posamezne službe.
2.6
Globalna informacijska infrastruktura
Pod terminom globalna informacijska infrastruktura (ang. Global Information Infrastructure,
kratica:
GII)
je
znana
iniciativa
mednarodne
standardizacijske
telekomunikacije (ITU-T) za nadaljnji razvoj sedanjih informacijskih
organizacije
za
omrežij. Globalno
informacijska infrastruktura (GII) je po obsegu konstantno naraščajoče komunikacijsko
omrežje, ki povezuje vse vrste komunikacij in računalniških omrežij po vsem svetu. Omogoča
dostopnost do elektronsko hranjene informacije ali prenos elektronske informacije hipotetično
iz vsake točke našega planeta. Trenutno internet predstavlja glavno globalno informacijsko
infrastrukturo.
Informacijsko gledano, je globalna informacijska infrastruktura (GII) konvergenca
telefonskih, podatkovnih in radiofuznih omrežij ter storitev in predstavlja enega izmed
ključnih elementov uspešnega poslovanja organizacij. GII je temelj informacijske družbe,
spreminja način poslovanja pa tudi družbeno življenje, način, kako ljudje komuniciramo med
sabo, kako se učimo, delamo, kupujemo, zdravimo, se zabavamo in informiramo. Poleg
16
širitve globalne informacijske infrastrukture je sočasno nujno potrebna tudi primerna raven
varnosti informacij. Hiter razvoj novih možnosti informacijsko-komunikacijskih tehnologij,
kot je npr. računalništvo v oblaku, zahteva močno osredotočenost na varnost, da bi se lahko v
celoti izkoristilo tehnološke dosežke (Bešter in Kos 2009, str. 1).
V današnjem svetu organizacije na različnih ravneh (podjetja, vlade, finančne institucije,
raziskovalne institucije, šolstvo …) ustvarjajo, izmenjujejo in hranijo velike količine zaupnih
informacij, ki so zbrane, obdelane in hranjene na računalniških sistemih (strežniki,
podatkovne baze, računalništvo v oblaku …) in prenesene skozi računalniške mreže (internet,
interna omrežja …) na druge računalnike (klienti, delovne postaje …). Varovanje zaupnih
informacij in podatkov je ne samo poslovna, ampak tudi etična in pravna zahteva. Ker se
informacijska varnost dotika tudi zasebnosti posameznika v organizaciji, mora biti to področje
ustrezno regulirano in nadzorovano.
3
STANDARDI, MODELI IN ORODJA ZA OBVLADOVANJE
TVEGANJ V ORGANIZACIJI
3.1
Organizacija in standardi
Organizacijam, ki se srečujejo s področjem ureditve problematike obvladovanja tveganj, so
na voljo različni mednarodni standardi, modeli ter različna orodja, in sicer z istim cljem, da
organizacijam ob predpisanem in striktnem izvajanju pomagajo k reševanju perečega
vprašanja obvladovanja tveganj v organizaciji. Tudi za obravnavano področje IT tveganj
obstajajo in se stalno razvijajo in dopolnjujejo različni mednarodni standardi ter veliko število
različnih modelov in orodij, ki so večinoma nastali kot posledica dolgoletnih dobrih praks na
tem področju.
Mednarodna
organizacija
za
standardizacijo
ISO
(International
Organization
for
Standardization) je usmerjevalec nacionalnih standardov in največji svetovni razvijalec
standardov. Standardi so prostovoljna obveza organizacij za njihovo uvedbo in izvajanje ter
ne predstavljajo zakonske obveze na ravni regulatornih organov.
17
Pri razvoju, izdaji in ažuriranju mednarodnih standardov sodelujejo različni tehnični odbori,
ustanovljeni za posamezna tehnična področja s strani državnih teles, ki so vključena v
organizaciji ISO ali IEC. Z uvedbo in upoštevanjem določenih standardov se organizacija
obveže k odgovornemu ravnanju na tem področju in s tem pridobi certifikat s strani
akreditirane certifikacijske organizacije. Certifikat (dokaz skladnosti) se izda, če so rezultati
pregledov pozitivni. Pregledi se izvedejo kot presoje na mestu samem in na vseh ravneh
organizacije. Po podelitvi certifikata se v načrtovanih intervalih z rednimi presojami preverja
učinkovitost posameznih kontrol in ukrepov kot tudi celovitost in popolnost uvedenih
procesov.
Poleg standardov, ki so že v celoti predhodno definirani, so organizacijam na voljo še razni
modeli, metodologije in orodja, ki nastajajo s strani različnih institucij in so se z leti uporabe
v različnih organizacijah po svetu pokazali kot primeri dobre prakse. Organizacije lahko te
modele in orodja za ocenjevanje in obvladovanje tveganj v celoti prevzamejo ali pa jih
preoblikujejo glede na svojo specifiko okolja in uporabo.
3.2
Standard ISO/IEC 27005
3.2.1
Družina standardov ISO/IEC 27000
Družina standardov ISO/IEC 27000 je skupek standardov, ki pokrivajo področje
informacijske varnosti v organizaciji. Standarde v sodelovanju z Mednarodno komisijo za
elektrotehniko (IEC)
pripravlja, ažurira
in
objavlja Mednarodna organizacija za
standardizacijo (ISO). Danes predstavlja družina standardov ISO/IEC 27000 (tudi 27k)
svetovno priznan okvir za najboljše prakse za področje upravljanja informacijske (IT)
varnosti. Razlogi, da se organizacije odločijo za uvedbo standardov iz družine ISO/IEC
27000, so naslednji:
-
Organizacija je podvržena zakonskim zahtevam glede varovanja podatkov in IT
sistemov,
-
Zmanjševanje števila pojavljanj IT varnostnih incidentov,
-
Zmanjševanje vpliva IT varnostnih tveganj,
-
Izboljšanje podpore poslovnim procesom s strani IT sistemov,
-
Zavedanje pomena varovanja podatkov v organizaciji.
18
Namen krovnega standarda ISO/IEC 27001, ki pokriva področje varovanja informacij v
organizaciji, je, da sistem varovanja informacij zagotavlja ustrezno zaščito informacij ter
računalniških in informacijskih sistemov pred nepooblaščeno uporabo, spremembami, krajo
ali uničenjem zaradi napak oziroma namernega škodljivega delovanja posameznikov ali
skupin. Cilj standarda ISO/IEC 27001 je zagotavljanje varnega in nepretrganega poslovanja
ter omejevanje poslovne škode na sprejemljiv nivo s preprečevanjem in zmanjševanjem
učinkov varnostnih incidentov. Navedeni standard je prevzel PDCA (ang. Plan-Do-CheckAct) procesni model pristopa k uvedbi in izvajanju.
Standard ISO/IEC 27001 je pisan v obliki zahtev, ki jih morajo organizacije izpolnjevati. Te
zahteve pa so v 11 poglavjih v obliki kontrol zapisane v standardu ISO/IEC 27002, ki ponuja
nabor možnih ukrepov za nadzor prepoznanih tveganj. Oba standarda sta enovita v smislu
informacijske varnosti, kar pomeni, da ne obravnavata le informacijske tehnologije in
informacij v elektronski obliki, temveč informacije v vseh možnih oblikah in medijih. Veliko
kontrol je povsem organizacijske narave in niso vezane na IT tehnologijo (npr. klasifikacija
informacij, politika čiste mize, odnos do zunanjih strank, odgovornost za informacijska
sredstva, varovanje človeških virov, varovanje opreme in prostorov …). Omenjena standarda
navajamo zaradi dejstva, da se nanju v različnih oblikah naslanjajo tudi ostali, specializirani
standardi, ki pokrivajo točno določena IT področja. Naj omenimo, da je bil pred kratkim,
oktobra 2013, izdan standard ISO/IEC 27001:2013, ki je revizija do sedaj veljavne verzije
ISO/IEC 27001:2005.
Standard ISO/IEC 27005 spada v skupino standardov ISO/IEC 27000, ki zajemajo področje
informacijske varnosti, opisuje proces upravljanja s tveganji in njegove priporočene
aktivnosti, s katerimi organizacija zagotavlja informacijsko varnost v okviru splošnih
konceptov, ki jih podaja standard ISO/IEC 27001. Standard ISO/IEC 27005 je poslovodno in
od posameznih tehnoloških rešitev neodvisno orodje, ki ponuja celovit pregled upravljanja
informacijskih tveganj. Organizacija, ki upravljanje IT tveganj definira glede na standard
ISO/IEC 27005, lahko proces aplicira na celotno organizacijo ali samo njen del, lahko zajame
vsak IT sistem ali pa ga uporabi pri ostalih kontrolah ali procesih znotraj organizacije.
Navedeni standard je uporaben za vse vrste organizacij, od industrijskih, trgovskih, državnih
agencij do neprofitnih organizacij.
19
3.2.2
Razvoj in verzije standarda ISO/IEC 27005
Ob vedno večji odvisnosti od informacijskih tehnologij, odprtosti organizacij in povečanju
pomena informacij v sodobnem poslovanju je iz potrebe po ureditvi in poenotenju razmer v
organizaciji na področju informacijskih tveganj nastal standard za upravljanje informacijskih
tveganj ISO/IEC 27005. Standard ISO/IEC 27005 je skozi svoj življenjski cikel doživel
izdaje, ki jih prikazuje tabela 3.1.
Tabela 3.1: Verzije standarda ISO/IEC 27005
Izdaja
Vsebina
ISO/IEC 27005:2008
-
Začetna verzija standarda; 12 poglavij, 6 aneksov
-
Usklajen glede na standarda ISO/IEC 27001 in 27002
-
Suport, pripomoček za obvladovanje področja IT varnosti
(ovrednotenje tveganj) po standardu ISO/IEC 27001
ISO/IEC 27005:2011
-
Prečiščena vsebina inicialne verzije
-
Dodatna uskladitev s standardom ISO/IEC 31000:2011, ki
pokriva področje obvladovanja tveganja ter podaja načela
in smernice
Vir: prirejeno po ISO (2014)
Veljavnost standarda, njegovih napotkov in priporočil je splošna, to pomeni, da je primeren za
uvedbo tako v podjetjih, javnem sektorju kot v neprofitnih organizacijah, in to ne glede na
njihovo velikost. Organizacija, ki pridobi certifikat ISO/IEC 27005, dokaže, da ima urejeno
implementacijo, upravljanje in vzdrževanje za področje upravljanja IT varnostnih tveganj.
3.2.3
Povzetek vsebine standarda
Zgoraj navedeni standard ISO/IEC 27005:2011 se uporablja v tesni navezi s standardoma
ISO/IEC 27001:2013 in 27002:2013, ki se v organizaciji uporabljata kot postopka za
upravljanje informacijske varnosti.
20
Z uvedbo in uporabo standarda ISO/IEC 27005 organizacija pridobi na prepoznavanju in
zmanjševanju IT varnostnih tveganj na želeno raven. S pridobljenim certifikatom organizacija
glede na konkurenco pridobi na izboljšanju poslovnih partnerstev, ker se poveča zaupnost
medsebojne izmenjave informacij, kar se lahko izkaže tudi za konkurenčno prednost pri
sklepanju novih poslovnih partnerstev. Skupaj z ostalimi standardi skupine ISO/IEC 27k uredi
področje obvladovanja procesov varovanja informacij v organizaciji.
Standard ISO/IEC 27005 ne predpisuje in ne predlaga uporabe posamezne metode ali orodja
za analizo IT tveganj, ampak samo podaja splošna priporočila za analizo in ocenjevanje
predhodno definiranih IT tveganj. Osnovna problematika upravljanja IT tveganj, njihovo
diagnosticiranje in evidentiranje znotraj standarda niso zajeti. Tudi sama opredelitev do pojma
tveganja je v standardu šibko definirana. Standard omeni kvantitativne in kvalitativne metode,
vendar jih ne specificira, tako da je posamezni organizaciji prepuščeno, da sama poišče in
izbere metodologijo in orodja, ki najbolj ustrezajo njenemu sistemu za upravljanje
informacijske varnosti in procesu za upravljanje IT tveganj. Ravno tako je organizacijam
prepuščeno, da same opredelijo kriterije tveganj in njihovo ovrednotenje mejnih vrednosti, do
koder je raven tveganja sprejemljiva (Jereb in Škornik 2009, str. 9–28).
3.2.4 Aktivnosti procesa po ISO 27005
Standard ISO/IEC 27005 opisuje en proces, ki ga sestavljajo aktivnosti. Aktivnosti vsebujejo
dejavnosti (opravila). Pri vsaki aktivnosti so opravila razdeljena v naslednja področja:
prispevek (ang. input), ukrep (ang. action), navodila za vpeljavo (ang. implementation
guidance), rezultat (ang. output).
Upravljanje IT tveganj po standardu ISO/IEC 27005 je definirano s procesom, ki je
shematsko prikazan na sliki 3.1.
21
Slika 3.1: Proces pri upravljanju IT tveganj po ISO/IEC 27005
Vir: Škornik (2010, str.4 )
V prvi aktivnosti, ki je opredeljena kot kontekst, določimo okvir informacij o organizaciji,
upoštevamo merila in namen obvladovanja tveganj, znotraj katerega zajamemo želeno
obravnavo upravljanja tveganj. Znotraj aktivnosti za oceno tveganj, kjer se na koncu
ovrednoti nivo tveganja, je predhodno še aktivnost analize tveganj, ki se deli na korak
prepoznavanja tveganja in korak določitve okvirne ocene tveganja. Pri prepoznavanju
tveganja je ključno, da se določi, kaj lahko povzroči možno izgubo ter kako, kje in zakaj
lahko ta izguba nastane. Pri okvirni oceni tveganja se dodeli vrednosti verjetnostim in
posledicam za vsako identificirano tveganje. Sledi odločitev o tveganju (kontrolna točka 1),
kjer se sprejme odločitev o nadaljevanju ali pa se opisane aktivnosti ponovijo. Tipičen razlog
za ponovitev cikla iz kontrolne točke 1 je na primer premalo zbranih in kvalitetnih informacij
za obravnavo tveganj. V primeru nadaljevanja sledi aktivnost obravnave tveganja, kjer se
sprejmejo odločitve glede ukrepov (tveganje sprejmemo, takšno kot je, tveganje zmanjšamo,
22
tveganje prenesemo na druge, tveganjem se izognemo). Sledi odločitev o rezultatih obravnave
tveganja (kontrolna točka 2). V kolikor obravnava tveganja ne zagotovi sprejemljive ravni
preostalega tveganja, je potrebno ponoviti enake korake (določanje konteksta, ocenjevanje)
kot iz kontrolne točke 1. V praksi se bo pogosto dogodilo, da bo potrebno iz kontrolne točke 2
zgolj ponoviti aktivnost obravnave tveganj na predhodni rezultatov ocene tveganj. Izhod iz
kontrolne točke 2 je v aktivnosti sprejetja tveganja, kjer se sprejme odločitve glede sprejetja
ukrepov v povezavi s tveganji, hkrati se določijo odgovornosti za identifikacijo tveganj.
Znotraj posameznih aktivnosti vseskozi poteka aktivnost obveščanja o tveganjih, preko katere
so vključeni deležniki obveščeni glede stanj in statusa tveganj. Aktivnost spremljanja in
pregleda tveganj je ravno tako interaktivna in namenjena celostnemu pogledu in vzdrževanju
procesa v okviru organizacije.
Posebno pozornost moramo posvetiti preostalim tveganjem in tveganjem, ki jih pustimo
takšna, kot so in o tem preko aktivnosti obveščanja obvestiti vodstvo organizacije. Od vodstva
se pričakuje povratno informacijo glede njihovega strinjanja o tem vprašanju.
Standard ISO/IEC 27005 enako kot standard ISO/IEC 27001 zahteva izvedbo po ciklu PDCA.
V tabeli 3.2 so pojasnjene aktivnosti pri procesu obvladovanja IT tveganja glede na PDCA
cikel izvedbe.
Tabela 3.2: PDCA cikel in proces obvladovanja IT tveganj
Proces
upravljanja
IT Aktivnosti pri procesu obvladovanja IT tveganj pri
varnosti
varovanju informacij
Določitev konteksta, ocena tveganja, razvoj načrta za
P
Plan
Načrtuj
D
Do
Stori
Vpeljava načrta za obravnavo tveganja
C
Check
Preveri
Stalno spreminjanje in pregledovanje tveganj
A
Act
Ukrepaj
obravnavo tveganja, sprejetje tveganja
Vzdrževanje in izboljševanje procesa obvladovanja tveganja
pri varovanju informacij
Vir: prirejeno po Škornik (2010, str.5)
23
Uporaba standarda ISO/IEC 27005 prinaša naslednje poslovne koristi organizaciji: urejeno
obvladovanje procesov upravljanja informacijskih tveganj, prepoznavanje in zmanjšanje
informacijskih tveganj na želeno raven, izboljšanjše uspešnosti izvedbe IT projektov in
povečanje konkurenčne prednosti pri poslovanju organizacije.
3.3
3.3.1
Metoda FMEA
Korelacija med standardi ISO in metodo FMEA
Namen analize načina in posledic napak (ang. Failure Mode and Effects Analysis), oziroma v
nadaljevanju metoda FMEA, je izvedba analize produktov in procesov. Z analizo se
identificirajo in preprečujejo težave na izdelkih ali procesih, še preden se le-te realizirajo.
Analizirani produkti ali procesi so lahko tako s področja industrije, informatike ali
organizacije.
Metoda je kot preventivni ukrep sestavni del mnogih standardov za doseganje kakovosti, na
primer v standardu ISO 9001 znotraj poglavja statistične metode. V organizacijah, kjer je
politika kakovosti določena po standardu ISO 9001, mora organizacija v primeru razvoja
novega izdelka, njegove izpeljanke, postopkov ali uvedbe novega procesa obvezno uporabiti
FMEA metodo.
Glede na dejstvo, da standardi družine ISO/IEC 27000 ne navajajo in ne priporočajo nobene
izmed specifičnih metod za zmanjševanje tveganj, se lahko analiza FMEA uporabi kot metoda
za zmanjševanje tveganj informacijske varnosti v organizaciji.
3.3.2
Predstavitev metode FMEA
Metodologija FMEA je izjemno razširjena v proizvodnih organizacijah in je uporabljena v
različnih fazah življenjskega cikla proizvodov ali procesov. V zadnjem času se vedno več
uporablja tudi na področju storitvenih dejavnostih. Metoda FMEA je ena izmed metod
preventivnega zagotavljanja kakovosti. Z njeno pomočjo lahko analiziramo verjetnost
nastanka napak in njihov vpliv že v zgodnjih fazah razvojnega in proizvodnega procesa, s
čimer je omogočeno čim zgodnejše zviševanje nivoja kakovosti (Šostar 2000, str. 120).
24
Z ustreznimi predhodnimi organizacijskimi ukrepi (podpora vodstva, izvedba izobraževanj,
določitev nosilcev izvedbe, priprava dokumentacije …) moramo poskrbeti za uvedbo
metodologije v organizacijo, kajti za obravnavani izdelek ali proces moramo z metodo pričeti,
še preden se napake sploh pojavijo.
Metode za zagotavljanje kakovosti se uporabljajo v zelo širokem obsegu tako v fazi
načrtovanja oziroma razvijanja izdelka kot tudi v fazi njegove izdelave. Uporaba se nanaša na
več različnih pomembnih elementov pri načrtovanju novih izdelkov in omogoča preverjanje
njihove ustreznosti ter morebitnih napak. Cilj metode je zmanjšanje nepredvidenih napak na
čim manjšo možno vrednost in s tem omogočanje izdelave izdelkov brez napak (Šostar 2000,
str. 112–113).
Z metodo FMEA sistematično določamo potencialne napake v razvoju, konstrukciji in
proizvodnji. Zaradi tega je mogoče preprečiti nastanek le-teh že na samem začetku. Glede na
fazo razvoja izdelka razlikujemo naslednje tri vrste uporabe metode FMEA (sistemska
metoda, konstrukcijska metoda in procesna metoda), ki so med sabo povezane in tvorijo
skupaj zaključeno celoto.
Pri sistemski metodi FMEA se določajo funkcionalnosti posameznih delov glede na celoten
sistem in povezave med posameznimi deli. Konstrukcijska metoda FMEA išče morebitne
napake pri posameznem delu v procesu konstrukcije, proizvodnje in montaže. Procesna
metoda FMEA pa išče potencialne izvore napak v proizvodnem ali storitvenem procesu.
3.3.3 Identificiranje ciljev
Prvenstveno je bila metod FMEA mišljena kot pomoč inženirjem za izboljšanje kvalitete in
zanesljivosti industrijskih izdelkov v avtomobilski industriji, strojništvu, industriji izdelave
polprevodnikov in mikroelektroniki. Z razvojem metode, uporabnostjo, načinom predstavitve
rezultatov se je njeno področje uporabe precej razširilo. Cilji metode FMEA so predvsem
(Šostar 2000, str. 120):
-
Čim zgodnejše odkrivanje kritičnih sestavin in šibkih točk, še posebej pri inovativnih
izdelkih in postopkih, s prepoznavanjem in lokaliziranjem napak v kompleksnih
sistemih,
-
Ocenjevanje tveganja s pomočjo praktičnih izkušenj in spoznanj v podjetjih,
25
-
Zmanjšanje tveganja z ustreznimi ukrepi,
-
Sistematično delo v strokovnih skupinah,
-
Izboljšanje preglednosti zgradbe in nastajanja izdelkov,
-
Določanje odgovornosti za ukrepe izboljšanja kakovosti, zmanjšanje razvojnega časa
in nalog,
-
Optimiranje proizvodne strategije.
Glavna naloga metode FMEA je odkrivanje bistvenih napak s čim nižjimi stroški. Za dosego
tega cilja je potreben natančno opredeljen, premišljen in strukturiran pristop. Prav tako je
pomembno, da je uporaba metode FMEA načrtovanja že pri nastajanju projekta za izdelek, s
tem pa je zagotovljen njegov razvoj v predvidenem času ob upoštevanju zahtev kupcev.
Zavedati se moramo, da FMEA metoda sama po sebi ne rešuje problemov, ampak zgolj
nakaže možne napake, katere moramo odpraviti z različnimi ukrepi (npr. konstrukcijska
sprememba, sprememba v delovnem postopku, organizacijski ukrep ...).
3.3.4
Razdelitev tveganj po sorodnostih
Pri ocenjevanju tveganj pridemo do velike množice posameznih tveganj, ki pa jih je mogoče
združevati glede na njihovo sorodnost. V literaturi je predlagana razdelitev tveganj po
naslednjih skupinah (Dobrović 2006, str. 211):
-
Tveganja, na katera lahko vplivamo,
-
Tveganja, na katera ni mogoče vplivati,
-
Prepoznana tveganja,
-
Skrita tveganja,
-
Tveganja, ki povzročajo posledice,
-
Tveganja, ki nimajo posledic,
-
Tveganja zunanjega okolja,
-
Tveganja notranjega okolja,
-
Specifična tveganja.
V primeru, da na tveganja lahko vplivamo, to pomeni, da jih lahko nadzorujemo in
predvidimo, katere so vse možnosti za njihovo uresničitev. Posledično pomeni, da predvidimo
ustrezne ukrepe za zmanjšanje njihovih posledic. Primer takšnih tveganj so na primer tveganja
26
izpolnjevanja pogodbenih obveznosti s strani kupcev in partnerjev, tveganje sprejemanja
poslovnih odločitev in podobno.
Obstaja skupina tveganj, ki jih lahko identificirano, ampak ni možno preprečiti njihove
pojavitve, kot so na primer naravne nesreče, izpadi dobave energentov, strojelomni primeri.
Proti takšnim tveganjem se lahko zavarujemo s sklepanjem različnih škodnih zavarovanj,
vendar na vzrok tveganja ne moremo vplivati. Takšna tveganja imajo zelo nizko stopnjo
verjetnosti odkritja.
Prepoznana tveganja predstavljajo vsa tveganja, ki jih je možno identificirati sorazmerno
enostavno preko strokovne skupine znotraj organizacije in brez angažiranja zunanjih
ekspertov. Skrita tveganja so tista tveganja, ki jih ni mogoče zajeti znotraj predvidenega
normalnega delovanja, ampak se pojavijo šele, ko povzročijo neko vrsto spremembe. Takšna
tveganja so zelo nevarna, saj njihovo identificiranje vzroka in posledic ni možno pred njihovo
realno uresničitvijo.
Tveganja, ki povzročajo posledice, predstavljajo vsa tveganja, ki jih FMEA strokovna skupina
prepozna in jih upošteva pri analizi. Tveganja, ki nimajo posledic, so vsa tveganja, ki s svojo
pojavitvijo ne povzročajo posledic, ki bi jih bilo relevantno upoštevati pri analizi.
Tveganja zunanjega okolja predstavljajo tveganja, katerih vzroki nastajajo izven mej
organizacije, torej se generirajo iz zunanjega okolja. Pri metodologiji se torej ne sme pozabiti
na upoštevanje učinkov zunanjega okolja na aktivnosti organizacije, kot je na npr. tveganje
spremembe zakonske regulative ali plačilne zakonodaje. Na ta tveganja po večini nimamo
vpliva, ker je njihova uresničitev neodvisna od vodstva organizacije, lahko jih zgolj ocenimo
oziroma predvidimo.
Tveganja notranjega okolja so tveganja, katerih vzroke je nujno iskati znotraj meja
organizacije in so lahko posledica nepopolne organizacijske strukture. Sem spadajo na primer
tveganja zdravja in varstva pri delu, varstvo pred požarom in poplavami ter podobno.
Specifična tveganja so vezana na posamezne, vsakodnevne aktivnosti in področja v
organizaciji, ki ravno tako generirajo svoje specifične grožnje. Sem prištevamo: tržna in
27
poslovna tveganja, tveganja IT varnosti, tveganja nabave in prodaje, tveganja zavarovanj,
bančna tveganja in podobno.
Razdelitev oziroma karakterizacija tveganj po sorodnostih izvajalcem FMEA metodologije
pomaga k lažji in hitrejši izvedbi samega postopka analize obravnavanih IT tveganj.
3.3.5
Proces izvedbe FMEA analize
V procesu izvedbe metode FMEA so vsebovani naslednji ključni koraki:
-
Identifikacija vseh možnih odpovedi produkta ali procesa
-
Identifikacija tipičnih načinov odpovedi
-
Analiza posledic posameznih načinov odpovedi
-
Identificiranje rizikov, ki so posledice načinov odpovedi
-
Ocena kritičnosti identificiranih načinov odpovedi
Prva faza je izvedba temeljitega pregleda obravnavanega izdelka ali procesa. Izvede se
identifikacija načinov odpovedi in identifikacija posledic načinov odpovedi, kjer se v
splošnem sprašujemo, če se nekaj (napaka, odpoved) pojavi, potem temu sledijo določene
posledice. Sledi ključni korak, in sicer identifikacija načinov odpovedi. Za vsak način
odpovedi moramo kvantitativno oceniti naslednje kriterije (Šostar 2000, str. 126):
-
resnost posledic (ang. severity of effects, oznaka S),
-
pogostost pojavitve (ang. occurence of failures, oznaka O) in
-
možnost pravočasnega zaznavanja odpovedi (ang. detection of failures, oznaka D).
Vsak identificirani način odpovedi kvantitativno ocenimo z ocenami (npr. od 1 do 10) glede
na vsak S, O, D kriterij. Zmnožek dodeljenih kriterijev S (Severity), O (Occurence) in D
(Detection) daje tako imenovani RPN (ang. Risk Priority Number) faktor. Naredimo
klasifikacijsko lestvico odprav vzrokov načina odpovedi glede na vrednosti RPN za vsak
način odpovedi. Največjo pozornost strokovna skupina nameni odpravam načina odpovedi, ki
so najvišje uvrščene na pridobljeni lestvici. Določijo se ustrezni ukrepi (konstrukcijske
rešitve, kontrolni ukrepi, organizacijski ukrepi …) in dodelijo se odgovornosti za izvedbo.
Sledi realizacija ukrepov in ponovna iteracija korakov za izračun novih vrednosti RPN in
pridobitev nove rangirne lestvice glede na novo stanje. Pridobljeno rangirno lestvico se
primerja s predhodno definirano mejno vrednostjo.
28
Ključno vprašanje, ki se pri postopku postavlja, je, ali so obravnavani načini odpovedi, ki so
najvišje rangirani, resnično kritični za zanesljivost produkta ali procesa, saj so s tem povezani
finančni vložki za njihovo zmanjševanje ali odpravo. Tu vodstvo organizacije računa na
znanje in izkušnje strokovne FMEA skupine.
Tipično je izvajalec metode skupina s štirimi do osmimi sodelavci, ki prihajajo z različnih
področjih znanja, pri čemer mora vodja tima imeti praktične izkušnje z FMEA analizo.
Pozorni moramo biti na to, da so udeleženi predstavniki vseh potrebnih oddelkov ter da so
člani navajeni skupinskega dela, ker metoda FMEA podpira predvsem intuitivno skupinsko
iskanje napak. Vodja tima je odgovoren, da je ekipa zmožna sprejemati kompromise,
vzpodbuja generiranje idej in aktivnost ostalih članov tima, vodi tim k cilju pridobitve
konkretnih rezultatov in poskrbi za vodenje projektne dokumentacije.
3.3.6 FMEA in obvladovanje tveganj v organizaciji
Slika 3.2 prikazuje medsebojne odnose v kompleksnem konceptu upravljanja organizacije. Za
učinkovito upravljanje s sistemom kvalitete v organizaciji je potrebno izpolniti dva pogoja, ki
služita kot temelj za obsežno področje upravljanja kvalitete. To sta področji upravljanja
informacij in upravljanja tveganj.
Slika 3.2: Medsebojni odnosi informacija-tveganje-kvaliteta v konceptu upravljanja
Upravljanje kvalitete
Upravljanje tveganj
Upravljanje informacij
Vir: prirejeno po Dobrović (2006, str. 213)
29
Metoda FMEA v upravljanju tveganj povezuje vse zgoraj opisane kategorije. V sedanjem
trenutku analize, ki jo na primer obravnavamo, daje osnovo za predvidevanje bodočih
posledic izvedenih tveganj in definira primerne ukrepe, s katerimi se lahko poveča nivo
kvalitete obravnavanega sistema, procesa, proizvoda ali storitve. Uporaba FMEA
metodologije se največkrat vodi projektno in ni trajen proces. Pri tem je podobno opredeljena
kot projekt. Ima torej svoj časovni razpon trajanja z začetkom in koncem, ima definirano
ekipo in vodjo, ima postavljene cilje za dosego (analiza), vseskozi se vodi projektna
dokumentacija ter ima odobrena finančna sredstva za izvedbo.
Obvladovanje tveganj v organizaciji pa je opredeljeno kot neprekinjen, stalen proces, tako da
je potrebno izvesti določene prilagoditve (organizacijski ukrepi, stalni timi, načini poročanja
…), da se metoda vključi v proces upravljanja s tveganji. Upoštevati je potrebno tudi, da
metoda zahteva FMEA izobraženo osebje, metoda je časovno precej zahtevna ter zahteva
odobritev koriščenja človeških in finančnih resursov.
3.4
3.4.1
Metoda Risk IT
Združenje ISACA
Eno izmed orodij za upravljanje IT tveganj je tudi metodologija Risk IT, katere prva verzija je
bila izdana leta 2009 s strani neprofitnega in neodvisnega združenja ISACA (International
System Audit and Control Association), ki ima svoje odseke po vsem svetu, tudi v Sloveniji.
Poslanstvo ISACA je nudenje znanja, izobraževanja in certifikacij glede zagotavljanja revizij,
nadzora in varnosti IT sistemov, s tem povezanimi tveganji, ter vodenja IT oddelkov.
3.4.2
Lastnosti metode Risk IT
Metoda definira, da so IT tveganja sestavni del poslovnih tveganj v podjetju in ne samo ena
izmed operativnih tveganj. Metodologija je načrtovana za uporabo v vseh tipih organizacij, ki
se srečujejo z upravljanjem IT tveganj, možna je tudi tudi samostojna uporaba s strani
uporabnikov.
30
Definira tudi prednosti in razloge za vpeljavo metodologije znotraj organizacije z vidika
posameznih vlog zaposlenih in poslovnih funkcij. Opredeljene so posamezne vloge in
odgovornosti na nivoju posameznika, ki so vključeni v aktivnosti upravljanja IT tveganj. Za
evidentiranje tveganj in njihovo ocenjevanje metoda ne definira posebnih orodij, se pa
komplementarno dopolnjuje z metodologijama Val IT (upravljanje investicij v IT) in Cob IT
(upravljanje IT procesa), ki sta enako izdana s strani ISACA.
3.4.3 Kategorije, lastnosti in deležniki pri upravljanju IT tveganj
Metoda opredeli IT tveganja kot tveganje, ki je kot komponenta, povezana z vsemi
preostalimi skupinami tveganj v organizaciji. Povezanost in vpliv te komponente sta najbolj
odvisna od tega, kakšen vpliv ima IT in s tem povezana tveganja na posamezno skupino
tveganj v posamezni organizaciji. IT tveganja tako ne uvršča v hierarhično postavitev, ampak
jih definira kot enotno platformo, ki ima večji ali manjši vpliv na ostala tveganja. Slika 3.3
prikazuje takšen primer razdelitve tveganj za primer bolj finančno usmerjene organizacije.
Slika 3.3: IT tveganja v hierarhiji tveganj organizacije po Risk IT
Vir: ISACA The Risk IT Framework (2009, str. 11)
Glede na sliko 3.3 so IT tveganja (ang. IT-related Risk) porazdeljena v posamezne kategorije
IT tveganj, ki imajo povezavo z (ISACA 2009, str. 11):
-
Doseganjem poslovnih vrednosti, ki jih IT podpira (ang. IT benefit/value enablement
risk),
31
-
IT projekti in IT investicijami (ang. IT programme and project delivery risk),
-
IT delovanjem, podporo in vzdrževanjem (IT operations, service delivery risk).
Odgovorni deležniki (posamezniki, skupine), vpleteni v proces, so stalno odgovorni, da v
okviru postavljenega procesa upravljanja tveganj takšna IT tveganja prepoznajo in jih
ustrezno vključijo v sistem. Med deležnike se uvrščajo: vodstvo podjetja, vodja finančnega
področja, vodja upravljanja tveganja, vodja IT varnosti, vodja IT, IT strokovnjaki, področje
zavarovanj, področje regulatorjev in presojevalcev, bonitetne agencije in podobno.
Za izvedbo procesa upravljanja IT tveganj metoda predpisuje, da se v okviru organizacije
upošteva naslednja načela, ki so prikazana tudi na sliki 3.4 (ISACA 2009, str. 13):
-
Stalno in dosledno upoštevanje strategije in poslovnih ciljev organizacije,
-
Usklajenost upravljanja IT tveganj s krovnim upravljanjem tveganj (ERM) v
organizaciji,
-
Uravnoteženje razmerja med stroški in koristmi pri upravljanju IT tveganj,
-
Vzpodbujanje in vzdrževanje odprte komunikacije glede IT tveganj na različnih
ravneh,
-
Vzpostavitev odgovornosti na nivoju posameznika, definiranje odnosov in
odgovornosti, določitev mej tolerance,
-
Vzpostavitev procesa z definiranimi aktivnostmi na dnevnem nivoju.
Slika 3.4: Načela upravljanja IT tveganj po Risk IT
Povezava na
strategije in
poslovnih ciljev
organizacije
Usklajenost
upravljanja IT
tveganj s ERM
Vzpostavitev
procesa s
aktivnostmi na
dnevnem nivoju
Načela
upravljanja IT
tveganj
Uravnoteženje
stroški /koristi
pri upravljanju IT
tveganj
Vzpostavitev
odgovornosti,
določitev mej
tolerance
Vzpodbujanje in
vzdrževanje
odprte
komunikacije
Vir: prirejeno po ISACA The Risk IT Framework (2009, str. 13)
32
3.4.4 Proces izvedbe metodologije Risk IT
Za upravljanje IT tveganj metoda predvideva izvajanje devetih procesov, ki so združeni v tri
skupine (ISACA 2009, str. 17–31):
-
Upravljanje IT tveganj (ang. Risk Governance)
-
Vrednotenje IT tveganj (ang. Risk Evaluation)
-
Odziv na IT tveganja (ang. Risk Response)
Procesi znotraj skupine upravljanja IT tveganj zagotavljajo, da je izvedba upravljanja IT
tveganj postavljena znotraj okvirja ERM v organizaciji, da je vzpostavljen in uporabljen
enoten pogled na tveganja in da je vzpostavljena povezava s poslovnimi odločitvami glede
ukrepanja.
V skupini vrednotenja IT tveganj vzpostavimo procese za zbiranje podatkov, izvedbo analize
tveganja in poskrbimo za ažurno poročanje v poslovnem okviru. Pri odzivih na IT tveganja
poskrbimo s procesi za njihovo upravljanje, za njihovo pravilno posredovanje ostalim
akterjem in za zagotovitev učinkovitega odziva. Za vsak proces in definirano vlogo so
predpisane odgovornosti in zahteve za sodelovanje v procesu. Na primer: da IT tveganja
vplivajo na IT sistem, ki obvladuje e-bančništvo, bo lastnik tega sistema potrdil uspešnost
izvajanja potrebnih aktivnosti in ne zgolj tehnično osebje, ki je skrbnik omenjenega sistema.
Precejšnji poudarek je podan tudi organizacijski kulturi glede upravljanja tveganj. Metoda
glede kulture organizacije loči na (ISACA 2009, str. 22):
-
Organizacije, ki sprejemajo tveganja. Tu je ključno vprašanje, katera tveganja
organizacije prepoznajo in v kolikšni meri jih prevzamejo. Tako lahko organizacije
tveganja sprejmejo in se odločijo za proaktivno ukrepanje, lahko pa se tveganjem
izogibajo ali celo ignorirajo.
-
Organizacije, ki temeljijo na sprejemanju predpisov in zakonodaje.
-
Organizacije, ki sprejemajo negativne rezultate in so zmožne na osnovi negativnih
rezultatov (učeča organizacija) problem tako analizirati, da se mu lahko v bodoče
izogne.
Najpomembnejši postopek je določitev IT tveganj in njihovih atributov. Pri izvedbi
ocenjevanja tveganja metodologija ločuje med scenarijem od zgoraj navzdol (angl. topdown), ki je značilen za poslovni vidik, in scenarij od spodaj navzgor (angl. bottom-up), ki
33
podaja generičen pogled, v primeru IT tveganj tehnični vidik. Pri specificiranju scenarijev IT
tveganj, njihove pogostosti pojavitve in njihovega vpliva se upoštevajo še faktorji tveganja, ki
lahko prihajajo iz notranjega ali zunanjega okolja. Med faktorje tveganja prištevamo še
zmogljivost obstoječega procesa upravljanja tveganj, sposobnost IT in raven povezave IT-ja s
poslovanjem.
Pri odzivih na IT tveganja se določi ključne indikatorje tveganja (vpliv na poslovanje,
potrebna vlaganja za uvedbo, spremljanje in poročanje, zanesljivost predvidevanja …). Med
parametre, ki narekujejo odločitev, prištevamo ceno uvedbe za izbrani odziv oz. ukrep,
pomembnost tveganja, sposobnost za uvedbo, uspešnost ukrepa in učinkovitost ukrepa. Na
osnovi pridobljenih indikatorjev se odločimo, kaj naredimo s tveganjem (zmanjšanje, sprejem,
izognitev, prenos). V odzivu na tveganja se določijo še prioritete njegove implementacije.
Organizacija se lahko odloči za hiter, močan odziv, kar najpogosteje zahteva visoka tveganja,
ki imajo lahko veliko potencialno škodo. Organizacija se lahko odloči za izdelavo poslovnega
primera, kjer se preko analize določi potreben vložek glede na tveganje in uspešnost odziva.
Lahko pa se odloči za odložen odziv v primeru nizkih tveganj.
3.4.5
Povzetek metode Risk IT
IT strokovnjaki imajo najpogosteje nalogo upravljanja IT tveganj, vendar v organizaciji
najpogosteje niso vpeti v sistem odločanja, kar predstavlja za organizacijo nevarnost
podcenjevanja vpliva posledic uresničitve IT tveganj. Uporaba metodologije Risk IT olajša
komunikacijo med presojevalci v organizaciji, ki so zadolženi za poslovna tveganja,
tehničnim osebjem ki po navadi izvaja aktivnosti, povezane s IT tveganji, ter vodstvom, ki
sprejema poslovne odločitve. Metoda podaja boljši pregled nad IT tveganji in njihovimi
posledičnimi finančnimi učinki na poslovanje organizacije.
3.5
3.5.1
Metoda NIST SP 800-30
Izdajatelj publikacije
The National Institute of Standards and Technology (NIST) je ameriški nacionalni inštitut za
standarde in tehnologijo. Je neregulatorska vladna organizacija, katere en del (Computer
34
Security Division) skrbi za računalniško varnost in kot rezultat svojega delovanja razvija
standarde, priporočila in usmeritve za povečanje informacijske varnosti.
Glavni cilj splošno dostopne publikacije NIST SP 800-30 je organizacijam ponuditi pomoč za
izboljšanje upravljanja z IT tveganji. Metoda služi kot napotek za razvoj učinkovitejšega
procesa upravljanja IT tveganj in pri tem vsebuje tako definicije kot praktična priporočila in
smernice, potrebne za ovrednotenje zmanjšanje tveganj znotraj IT sistemov. NIST je do sedaj
izdal naslednje verzije metodologije SP 800-30 za upravljanje IT tveganj:
Tabela 3.3: Izdaje verzij metodologije NIST SP 800-30
Verzija
Ključna vsebina in spremembe
NIST SP 800-30
Metodologija, sestavljena iz 9 korakov.
Izdaja: julij 2002
NIST SP 800-30 Rev1
Izvedeni posodobitev vsebine in revizija koncepta.
Izdaja: september 2012
Razdelitev upravljanja tveganj na 3 organizacijske nivoje. Proces
razdeljen na štiri korake.
Vir: prirejeno po NIST (2012)
3.5.2 Lastnosti metode NIST SP 800-3
Pri ovrednotenju tveganj se metodologija osredotoča na priporočila NIST SP 800-39 (zadnja
izdaja: marec 2011), ki opredeljujejo organizacijo upravljanja tveganj z vidika vpeljave
procesa v organizaciji. Metodologija definira ciljno javnost v organizaciji, ki je zadolžena za
vključitev v proces upravljanja tveganj (vodstvo organizacije, lastniki poslovnih procesov,
upravljalci tveganj, varnostni inženirji, skrbniki sistemov …). Metodologija je načeloma
splošno uporabna za vse vrste organizacij.
3.5.3 Proces izvedbe metodologije NIST SP 800-30
Metodologija NIST SP 800-30 za upravljanje IT tveganj narekuje devet korakov, ki so
navedeni v tabeli 3.4 (NIST 2002, str. 8–27):
35
Tabela 3.4: Koraki procesa izvedbe metodologije NIST SP 800-30
Korak
Opis aktivnosti
1
Karakterizacija sistema (System Characterization)
2
Identifikacija groženj (Threat identification)
3
Identifikacija ranljivosti (Vulnerability Identification)
4
Analiza kontrole (Control Analysis)
5
Ocena verjetnosti (Likelihood Determination)
6
Analiza vpliva (Impact Analysis)
7
Določitev tveganja (Risk Determination)
8
Priporočila kontrole (Control Recommendation)
9
Dokumentiranje rezultatov (Results Documentation)
Vir: Škornik (2010, str.9 )
V začetnem koraku karakterizacije sistema opredelimo obseg (HW in SW komponente
sisteme, vmesniki) in meje (umestitev v IT infrastrukuro in okolje) za obravnavani IT sistem.
Vključimo vse viri in informacije, ki specificirajo sistem pri vključitvi v IT infrasrtukturo.
Pridobimo vso obstoječo dokumentacijo upravljanja IT tveganj na nivoju organizacije, ki je
pomembna za obravnavani sistem ali proces. Pomembno je definirati tudi avtorizacijske meje
podajanja informacij, tako za sam sistem in sistemske povezave kot za upravitelje sistema. V
koraku identifikacij groženj se ocenijo vsi viri groženj, šibke točke sistema, njegove povezave
z okolji ter obstoječe kontrole. Cilj tega koraka je pridobitev seznama potencialnih virov
groženj in nato njihova opredelitev za obravnavani IT sistem. Pomagamo si z ustrezno
strokovno skupino, eksperti za posamezna področja in obstoječo dokumentirano bazo znanja.
Sledi korak identifikacije ranljivosti, v katerem je ključna aktivnost pridobitev seznama
ranljivosti IT sistema (šibkosti, pomanjkljivosti), katerega bi lahko viri groženj ogrozili. V
naslednjem koraku analiziramo vse kontrole, ki so bile za IT sisteme že izvedene ali pa so
načrtovane s strani organizacije in imajo za cilj odpravo ali zmanjšanje verjetnosti uresničitve
grožnje s seznama ranljivosti. V koraku ocene verjetnosti se pokažejo potencialne ranljivosti,
kjer se upošteva: motivacijo in zmožnost vira grožnje, naravno ranljivost, obstoj in
učinkovitost sedanjih kontrol. Za izvedbo naslednjega koraka analize vpliva so poleg izhodnih
informacij iz korakov 2 in 3 potrebne naslednje še naslednje dodatne informacije: obseg in
36
pomen sistema, kritičnost podatkov in sistema, občutljivost podatkov in sistema. V koraku 7,
ocena tveganja, ocenimo stopnjo tveganja obravnavanega IT sistema glede na predhodno
določene in predpisane metrike (lestvica obsega groženj, matrika tveganja). V koraku
priporočila kontrole se glede na posamezno organizacijo določijo kontrole, ki zmanjšujejo in
odpravljajo ugotovljena tveganja. Za vsak IT sistem si pri upravljanju IT tveganj želimo
izpolniti cilj, da s pomočjo kontrol zmanjšamo stopnjo tveganja IT sistema in podatkov na
sprejemljivo raven. Pri kontrolah se morajo upoštevati naslednji dejavniki: učinkovitost,
zakonodaja, stroški, politika organizacij, operativni vpliv na sisteme in zaposlene, varnost,
zanesljivost. Dodatno nam pomagajo regulativna
priporočila, ki so rezultat procesa
ocenjevanja tveganja oziroma dobre prakse s tega področja. Pri regulativnih priporočilih so
proceduralne in tehnične varnostne kontrole že ocenjene, ovrednotene in izvedene. Po
zaključni oceni IT tveganja (identifikacija virov groženj, identifikacija ranljivosti in šibkih
točk, ocena tveganj, priporočitev kontrol) se v zadnjem koraku rezultati dokumentirajo v
uradno določeno poročilo s strani organizacije, hkrati se poskrbi za ustrezno hrambo in
dostop. Uradno določeno poročilo vsebuje enotno glavo in po možnosti tudi formo, ustrezen
način označevanja verzij. Dokument se potrdi in overi s strani ustreznih akterjev (avtor,
pregledovalec, presojevalec).
3.5.4 Povzetek metode NIST SP 800-30
Bistveni koraki pri opisani metodologiji so enako kot tudi pri ostalih metodah in orodjih
identificiranje, prepoznavanje in ovrednotenje tveganj. Identificirati je potrebno vzroke in na
drugi strani posledice, ki onemogočajo izpolnitev zadanih ciljev poslovanja ali projektov. Pri
identifikaciji se je potrebno izogibati subjektivnih ocen in čim večjo težo dati objektivnim
ocenam, pri čemer nam lahko pomaga obstoječa baza kontrol, ocen in kontrolnih seznamov.
Ovrednotenje tveganj je ključni del aktivnosti upravljanja tveganj in posledično vpliva pri
sklepanju odločitev in določitvi ukrepov na vseh nivojih organizacije. Ovrednotenje tveganj
poteka čez celoten življenjski cikel nekega sistema. Poteka od njegovega začetka pri izbiri
materialov in predvidenih tehnologij, preko projektiranja, izvedbe, produkcije do njegove
podpore in vzdrževanja. Pri ovrednotenju je priporočljiva uporaba kvantitativnih metod,
uporaba vrednosti. Izogibamo se kvalitativnemu vrednotenju in razdelitev na razrede ali celo
samo na opise. Ravno tako moramo paziti, da se napačno ne ocenita verjetnost pojava in
velikost vpliva tveganja. Še večja napaka je, če tveganje napačno ocenimo kot nepomembno
37
in ga izpustimo ali pa ga zaradi različnih vzrokov (nepoznavanje problematike, napačna
subjektivna ocena) sploh ne zaznamo ali prepoznamo.
4
OBVLADOVANJE TVEGANJA NA PRIMERU UVEDBE IT
SISTEMA S POMOČJO METODE NIST SP 800-30
4.1
Organizacije in RFID identifikacija
Organizacije pri poslovanju v svojih sistemih in aplikacijah za identifikacijo (oseb, živali,
blaga, predmetov, izdelkov) pogosto uporabljajo tehnologijo radiofrekvenčne identifikacije
(ang. Radio Frequency IDentification, kratica: RFID). Tehnologija zaradi svoje uporabnosti,
varnosti in cenovne dostopnosti čedalje bolj izpodriva ostale tehnologije identifikacije, npr.
črtno kodo. Organizacije zaradi enostavnosti uporabe in stroškovne upravičenosti izberejo
enotno RFID tehnologijo za vse ali za čim več sistemov in aplikacij, ki rabijo RFID
identifikacijo v okviru organizacije. Zato morata biti izbira tehnologije in njena uvedba
skrbno premišljeni, da se izognemo neželenim nadgradnjam ali predčasnim zamenjavam.
Uporaba RFID tehnologije je mednarodno razširjena in daje možnost uporabe v zelo širokem
naboru poslovnih področij in v ostalih aspektih življenja. V organizacijah je tipična uporaba v
različnih sistemih personalne identifikacije (sistemi evidentiranja, sistemi pristopne kontrole,
interna plačila …), zelo veliko se uporablja v logističnih sistemih pri sledenju materiala in
izdelkov. V javnem sektorju se uporablja v aplikacijah in storitvah e-uprave (zdravstvena
izkaznica, osebna izkaznica, potni list), v sistemih javnega transporta, za različne vrste in
načine evidentiranja in podobno.
4.2
Prikaz trenutnega stanja
RFID tehnologija temelji na izrabi fizikalnega pojava elektromagnetnega polja, kar se danes
zelo razširjeno uporablja za brezkontaktno izmenjavo podatkov za namen identifikacije oseb,
predmetov, izdelkov ali živali. RFID tehnologijo, nosilce identifikacije (RFID značke) in
protokole za izmenjave podatkov s čitalniki definira mednarodni standard ISO/IEC 14443
38
(Part 1 do Part 4). Navedeni standard določa fizične karakteristike ohišja in dimenzije antene,
nosilno frekvenco, signalni vmesnik, način inicializacije in prenosne protokole. V okviru
navedenega standarda veliko organizacij uporablja sisteme RFID identifikacije, ki temeljijo
na tehnologiji brezkontaktnega prenosa podatkov med RFID značko in čitalnim mestom s 125
kHz nosilno frekvenco. Tipični standardni sistem RFID identifikacije v organizaciji
sestavljajo naslednji osnovni gradniki:
-
RFID značka,
-
HW oprema za branje in obdelavo RFID prenosa podatkov,
-
SW oprema RFID sistema.
Vse v zvezi z RFID značko predpisuje prej navedeni standard, tako da uporabniku ostane
izbira med različnimi RFID tehnologijam in RFID značkami. Tehnologije se med sabo
razlikujejo glede na uporabljene nosilne frekvence (125 kHz, 13,56 MHz, 860–960 MHz, 2,4
GHz), različne načine hrambe in izmenjave podatkov in glede vgrajenih varnostnih
mehanizmov. RFID značko uporabnik izbere glede na predvideni način uporabe same
identifikacije. Najpogosteje se uporabljajo RFID značke v fizični obliki kartic, obeskov,
etiket.
Izbiro HW opreme za branje (čitalniki, registratorji) in obdelavo (krmilniki, terminali,
kontrolerji) dejansko določa predhodno izbrana izbira RFID tehnologije in RFID značke.
Čitalniki preko vzpostavljenega nihajnega elektromagnetnega kroga dajo RFID znački
potrebno energijo za vzpostavitev komunikacije in s tem omogočijo prenos podatkov. Čitalnik
glede na uporabljeno tehnologijo samo bere podatke iz RFID značke ali pa jih lahko bere in
zapisuje na značko. RFID čitalniki se preko različnih komunikacijskih načinov povezujejo z
ostalo HW opremo (terminali, krmilniki, komunikatorji) v računalniški (strežnik, klient)
oziroma informacijski sistem (podatkovne baze, podatkovna polja).
Enostavnejše tehnologije RFID identifikacije (npr. tehnologija 125 kHZ) omogočajo zgolj
branje podatkov iz RFID značk. V tem primeru je možno samo branje predhodno, tovarniško
zapisanega podatka (UID koda), tako da v tem primeru ni potrebe po SW opremi, ki skrbi za
upravljanje RFID značk, podatkov in povezanih sistemov. Vsi sistemi, ki uporabljajo RFID
identifikacijo, so v tem primeru vezani zgolj na branje te UID kode, ostale izmenjave
podatkov ni.
39
Novejše RFID tehnologije (npr. tehnologija 13,56 MHz) omogočajo dvosmerno komunikacijo
(zapis / branje) z RFID značko, kreiranje in vključevanje različnih varnostnih mehanizmov ter
interaktivno povezavo s povezanimi sistemi, ki uporabljajo RFID identifikacijo. Takšni
sistemi zahtevajo upravljanje (programiranje, zapisovanje, določitev profilov) že na strani
RFID značk, ki ga obvladujemo z namensko SW opremo.
4.3
Analiza trenutnega stanja
V organizacijah je trenutno v identifikacijskih sistemih za identifikacijo oseb najpogostejša
uporaba standardne 125 kHz RFID tehnologije in RFID značke v fizičnih dimenzijah tako
imenovane »bančne kartice« (ISO/IEC 14443 Part 1, Class 1), tipa EM4100/02. Kartice imajo
vpisano enolično tovarniško definirano kodo (UID) v dolžini 64 bitov, ki je namenjena zgolj
branju. Kartica nima vgrajenih posebnih varnostnih mehanizmov za podatkovno zaščito, kar
pomeni, da je varnostno sporna v pogledu prisluškovanja, kopiranja in emuliranja kartice. Za
analizo trenutnega stanja za RFID sistem v organizaciji, ki za identifikacijo uporablja
standardno 125 kHz RFID značko, izvedemo SWOT analizo, ki je prikazana na sliki 4.1. Z
navedenim orodjem analiziramo prednosti (ang. Strengths), slabosti (ang. Weaknesses),
priložnosti (ang. Opportunities) in grožnje (ang. Threats) obravnavane 125 kHz RFID
tehnologije.
40
Tabela 4.1: SWOT analiza standardne 125 kHz RFID tehnologije
Priožnosti
(ang.Opportunities)
O
-
-
Cena
Enostaven proces
vpeljave in upravljanja
Večji domet branja
(velja za specifične
primere, ne splošno)
Sprejemljivost uvedbe
za organizacije z
nizkimi varnostnimi
zahtevami
W
-
Pomanjkljivosti
(ang. Weaknesses)
-
-
T
-
Grožnje
(ang. Threats)
Prednosti
(ang. Strengths)
S
-
Zastarela tehnologija
Ni uporabe zaščitnih mehanizmov
Omejenost zgolj na UID podatek
»Read only« kartica
Upad števila SW in HW rešitev, ki
uporablja in podpira to tehnologijo
Ni vgrajenega spomina za aplikacijske
podatke
Izdelava duplikata kartice
(kloniranje)
Prisluškovanje RDID komunikaciji
Izvedba motenj v RFID komunikaciji
Emulacija RFID kartice
Prikaz, objava UID številke
Poseganje v zasebnost
Razkritje internih informacij
Vir: Škedelj, lastni prikaz (2014)
SWOT analiza pokaže na kritičnost uporabe standardne 125 kHz RFID tehnologije, predvsem
z vidika pomanjkljive informacijske IT varnosti, saj je potreben minimalni vložek za
izpolnitev varnostnih groženj, ki imajo lahko sorazmerno velike posledice. Naslednja
pomanjkljivost je tehnološka zastarelost uporabljene tehnologije, ki ima posledice v omejeni
funkcionalnosti za uporabnike. Na trgu je tudi čedalje manj HW (čitalniki, terminali) in SW
opreme za sisteme RFID identifikacije s to tehnologijo.
Zaradi zastarele tehnologije in neprisotnosti sodobnih varnostnih mehanizmov je posledično
veliko tudi groženj. Na tržišču so splošno in cenovno dostopna orodja, s katerimi se enostavno
izvede pridobitev podatkov in kopiranje ali emulacija takšne RFID kartice. Avtor v viru
(WEE Hon Tan, 2009 ) navaja, da so na trgu splošno in cenovno dosegljiva orodja (npr.
Promax3, Touchtag, Crapto1) v izvedbi čitalnikov in pripadajoče SW opreme, ki
onesposobijo vgrajene varnostne mehanizme in pridobijo podatke, vpisane na kartici. Ob
izpolnitvi in izvedbi teh tveganj so organizaciji razkrite interne informacije, kar lahko
41
predstavlja poslovno škodo (kazni, tožbe, ugotovitev nepravilnosti s strani inšpekcijskih
pregledov).
Zaključek je, da ima standardna 125 kHz RFID tehnologija občutno več slabosti in nevarnosti
kot prednosti in priložnosti. Tehnologija je uporabna zgolj v organizacijah, kjer ni potrebe po
večjih varnostnih zahtevah v sistemih in aplikacijah za RFID identifikacijo. V tem primeru
organizacija uvede RFID sistem sorazmerno enostavno in z relativno majhnimi stroški. Vsem
ostalim, ki v RFID sistemih potrebujejo vsaj minimalni prag IT varnosti, se predlaga uporabo
naprednejših 13,56 MHz RFID tehnologij.
4.4
Predstavitev karakteristik obravnavanega IT sistema
Kot posledica ugotovitev analize iz predhodnega poglavja morajo organizacije uvajati
novejše, tehnološko in varnostno naprednejše RFID tehnologije za identifikacijo oseb.
Globalni standardi ISO/IEC 14443 Part1-Part4, ISO/IEC 7816 definirajo tako imenovane
»pametne kartice« (angl. contactless smartcards), ki se uporablja kot naziv za brezkontaktno
RFID kartico, ki ima podporo kriptografije pri izmenjavi podatkov med kartico in čitalnikom.
Blokovni prikaz koncepta pametne kartice RFID tehnologije 13,56 MHz je prikazan na sliki
4.1.
Slika 4.1: Blok shema RFID kartice tehnologije 13,56 MHz
Vir: NXP (2014)
42
Tehnični opis zasnove takšne kartice ni predmet te naloge, nam pa je takoj razvidno, da
zasnova kaže na zgradbo mikroračunalnika (CPU, različne vrste spomina, komunikacijski
vmesniki …). Pri RFID kartici tehnologije 13,56 Mhz nas najbolj zanimajo vgrajeni varnostni
mehanizmi. Varnostni mehanizmi, ki so vključeni v RFID kartice tehnologije 13,56 MHz, so
naslednji (NXP 2014):
-
diverzikacija varnostnih ključev,
-
enkripcija podatkov s simetričnimi enkripcijskimi algoritmi tipa 3DES, AES, s ključi
dolžine 128 bit,
-
popolna varnostna skladnost s standardom ISO/IEC 14443 A,
-
tristopenjska avtentifikacija med kartico in čitalnikom,
-
HW izvedeno kriptiranje s kripto procesorjem.
Poleg navedenih varnostnih mehanizmov kartice omogočajo še naslednje funkcionalnosti, ki
se tičejo predvsem upravljanja in izmenjave podatkov med kartico in čitalnikom (povezani
sistem, ki uporablja RFID identifikacijo):
-
razpoložljiv spominski prostor v rangu 1–10 kB,
-
zapis podatkov na kartico v obliki aplikacij in datotek,
-
uporabnik (organizacija) sam definira konfiguracijo, zaščito kartice in podatke za
izmenjavo.
Vpis podatkov na kartico, konfiguracijo profila, izbiro varnostnih mehanizmov, določitev in
vpis varnostnih ključev izvede uporabnik s programsko aplikacijo, ki skupaj s strojno opremo
in človeškimi viri (skrbniki, operaterji) predstavlja upravljanje sistema RFID identifikacije.
Organizacija mora sama poskrbeti za proces upravljanja s pametnimi karticami. V tem
procesu morajo biti natančno opredeljeni postopki, ki opredeljujejo celoten življenjski cikel
kartice, opredelijo način zapisa in varnost podatkov, opredelijo, kako in v katerih sistemih in
aplikacijah se bo kartica uporabljala, definirajo se deležniki in njihove vloge ter vsa potrebna
spremljajoča dokumentacija, ki nastaja znotraj procesa.
Napredni produkti tehnologije 13,56 MHz RFID kartic na trgu so: Mifare Plus, Mifare
DESFire (EV1), Legic Advant, Infineon SLE, SmartMX.
43
Predvidevamo, da se je organizacija odločila za RFID sistem 13,56 Mhz tehnologije. Za
sistem se torej pred uvedbo ovrednotijo tveganja z metodologijo NIST SP 800-30. Na osnovi
rezultatov analize tveganj se bo organizacija lažje odločila za uvedbo sistema in prišla do
zaključkov, kateri ukrepi so potrebni glede upravljanja IT tveganj za obravnavani sistem.
4.5
Identifikacija tveganj, groženj in ranljivosti izbranega IT sistema
Izvedba korakov identifikacije tveganj, groženj in ranljivosti, ocena tveganj in razvrščanje po
pomembnosti so za obravnavani IT sistem izvedeni s pomočjo analize tveganj. Pri izvedbi
navedenih korakov je ključno razumevanje samega IT sistema, ki ga uvajamo in same IT
infrastrukture, kamor bo sistem umeščen. Predvidevamo, da je ključna IT infrastruktura
(mreža, fizični prostori za namestitev opreme, strežniško okolje, podatkovni sistemi) v
organizaciji že postavljena. Prav tako predpostavljamo, da je v organizaciji tudi že predhodno
vzpostavljen proces upravljanja s tveganji za IT sisteme, tako da se uporabi standardne
vprašalnike in obrazce na nivoju organizacije. Prav tako se prevzame obstoječe klasifikacije
za določitev nivojev tveganja (Priloga 2: Tabela A).
Sistem ima delovno ime “Sistem RFID identifikacije” in predvideva zamenjavo za obstoječi
tehnološko zastarel RFID sistem, ki podpira standardno 125 kHz RFID tehnologijo. Novi
sistem predvideva uporabo kartice tehnologije 13,56 MHz (tip: Mifare DESFire EV1), uvedbo
pripadajoče strojne opreme in programske opreme, ki služi upravljanju sistema. Sistem bo v
organizaciji služil kot podporni sistem za vse aplikacije, ki uporabljajo RFID identifikacijo
(evidenca delovnega časa, logistični sistemi v skladiščih, sistem pristopne kontrole, aplikacije
internega plačevanja, aplikacije evidence prisotnosti …). Uvedba, uporaba in vzdrževanje
sistema predvidevajo koriščenje človeških resursov znotraj organizacije v celotni predvideni
življenjski dobi sistema, ki bo predvidoma 10 let. Arhitektura sistema zagotavlja visoko
stopnjo zanesljivosti ob zahtevani 99 % razpoložljivost sistema. Sistem omogoča njegovo
razširljivost in kasnejše nadgradnje.
Slika 4.2. prikazuje blok shemo predvidenega sistema RFID identifikacije, ki je predmet
analize IT tveganj. Sistem je zasnovan kot distribuirana strežnik – odjemalec aplikacija s SQL
podatkovno bazo, ki se vključi v obstoječo IT infrastrukturo. Sistem je samostojen,
centraliziran z enim strežnikom in večimi odjemalci (PC klienti). Preko skupne SQL DB se
poveže na ostale aplikacije, ki uporabljajo RFID kartice kot identifikacijo. RFID enkoder
44
(čitalnik in zapisovalnik) se priključi na PC klienta preko USB vrat. Na sistem se kot opcija
priključi tiskalnik kartic, ki služi za potisk RFID kartic z dogovorjenimi osebnimi podatki
zaposlenega. Te in še vse ostale karakteristike IT sistema (občutljivost podatkov, klasifikacija
sistema) zapišemo še v obliki tabele (Priloga 2: Tabela B).
Slika 4.2 : Blok shema sistema RFID identifikacije
RFID kartice uporaba
RFID čitalnik
Klient
Sistem RFID
identifikacije
RFID kartice priprava
Print kartic
HW oprema
Aplikacija ki
uporablja RFID
kartice
RFID enkoder
RFID kartice potisk
LAN Ethernet
Sistem RFID identifikacije
Server
Aplikacija uporabe RFID
Server
Sistem RFID identifikacije
Vir: Škedelj, lastni prikaz (2014)
S strani vodstva organizacije se najprej potrdi sodelujoče pri ovrednotenju tveganj in njihove
vloge. Vsi posamezniki prihajajo iz same organizacije in so predhodno izobraženi s tega
področja. Najprej identificiramo nabor potencialnih groženj za sistem (Priloga 2: Tabela C).
Sledi izdelava tabele 4.2 (Priloga 2: Tabela D), kjer so prikazane ranljivosti sistema, ki jih
lahko izkoristijo grožnje in s tem povzročijo IT tveganja na obravnavanem sistemu.
Identificirajo se tveganja s strani IT sistema, uporabljenih podatkov in same organizacije dela
in sistema.
45
Tabela 4.2: Ranljivost, grožnje, tveganja
Št.
Tveganja
Grožnja
Ranljivost
Vpliv tveganja
Tveganje
Izguba delujočega
strežnika. Ni možna
izdelava novih RFID
značk. Izguba
razpoložljivosti sistema
in podatkov.
Ni mogoče delo
operaterjev. Finančna
škoda. Zmanjšana
razpoložljivost sistema.
Sistem se fizično
nahaja samo v
enem prostoru.
Naravna katastrofa.
Razpoložljivost
sistema in podatkov.
2
Nedelovanje
sistemov
tehničnaga
varovanja.
Odtujitev fizične HW
opreme.
Razpoložljivost HW
opreme in sistema.
Požar.
Razpoložljivost HW
opreme in sistema.
3
Prostor, kjer se
nahajajo PCklienti, ni
protipožarno
varovan.
Zakasnjeno ukrepanje v
primeru požara. Ogroženi
zaposleni in oprema.
Posledično zmanjšana
razpoložljivost sistema.
Izpad električne napetosti.
Razpoložljivost
sistema in podatkov.
4
Trenutna okvara
redudantne UPS
naprave za
napajanje
strežnika.
Izguba napajalne
napetosti lahko povzroči
nedelovanje strežnika in
zmanjša razpoložljivost
sistema.
Poneverba ali
napaka zapisa
podatkov.
Sabotaža ostalega osebja.
Celovitost podatkov.
6
Izguba varnostne
zaloge RFID
kartic.
Prekinitev dobave RFID
kartic na trgu.
Razpoložljivost
sistema.
Izguba DB podatkov na
strežniku.
Razpoložljivost
sistema.
7
Ni povezave na
povezane sisteme,
ki uporabljajo
RFID
identifikacijo.
Nepravilno oziroma
neavtorizirano delovanje
določenih RFID
kartic.Zmanjšana
celovitost podatkov.
Začasna prekinitev
izdelave novih RFID
kartic. Zmanjšana
razpoložljivost sistema.
Ni možna izmenjava
podatkov na povezane
sisteme, posledična
zmanjšana
razpoložljivost sistema.
Kraja identitete.
Izguba RFID kartice s
strani uporabnika.
Zaupnost sistema in
podatkov.
Prisluškovanje
RFID
komunikaciji.
Zlonamerna uporaba ali
poseg.
Zaupnost podatkov.
Izdelava duplikata
RFID kartice.
Zlonamerna uporaba ali
poseg.
Zaupnost sistema in
podatkov.
1
5
8
9
10
46
Izkoriščanje avtorizacij v
RFID sistemih.
Zmanjšana zaupnost
sistema in podatkov.
Razbitje zaščitnega
mehanizma prenosa
podatkov med kartico in
čitalnikom. Posledično
izguba zaupnosti
podatkov.
Neavtorizirano delovanje
večjega števila RFID
kartic v aplikacijah za
RFID identifikacijo.
Izguba zaupnosti
podatkov in sistema.
Št.
Tveganja
Grožnja
Vpliv tveganja
Prepoznava in
dostop do
konfiguracijskega
profila.
Izguba varnostnih ključev.
Celovitost in zaupnost
podatkov.
Emuliranje RFID
kartice.
Zlonamerna uporaba ali
poseg.
Zaupnost podatkov.
Ranljivost
11
12
Tveganje
Izguba temeljne
varnostne zaščite sistema.
Izguba celovitosti in
zaupnosti podatkov ter
sistema.
Izkoriščanje avtorizacij v
RFID sistemih brez
uporabe ID kartic.
Zmanšana zaupnost
podatkov.
Vir: Škedelj, lastni prikaz (2014)
Iz nabora identificiranih groženj smo glede na možne ranljivosti sistema RFID identifikacije
opredelili 12 groženj, ki lahko imajo ob svoji uresničitvi vpliv na sistem in podatke in s tem
predstavljajo tveganja za obravnavani sistem.
4.6
Ukrepi za znižanje tveganosti sistema v celotni življenjski dobi
Upravljanje sprememb je ponavljajoč in kontroliran proces, s katerim zajamemo vse
spremembe okolja IT sistema za obdelavo informacij. V celotni življenjski dobi sistema ali
aplikacije se dogajajo spremembe tako na strojni kot na programski opremi. S procesom
upravljanja sprememb na IT sistemu želimo zmanjšati tveganja, ki jih povzročijo spremembe
pri obdelavi podatkov, in izboljšati stabilnost in zanesljivost IT sistema. Vsaka sprememba
znotraj IT sistema predstavlja tveganje, ki ima lahko različne posledice. Glede na predvideno
vrsto sistemskih sprememb (planirana sprememba, redni varnostni popravki, velika sistemska
sprememba, sprememba funkcionalnosti …) se najprej zahtevata definiranje zahtev in njihov
obseg. Proces upravljanja IT sprememb nadzira za to določen organ, ki ga sestavljajo akterji
ključnih poslovnih funkcij v posamezni organizaciji. Striktno in nadzorovano upravljanje
procesa upravljanja sprememb in s tem povezani postopki lahko v veliki meri zmanjšajo
celotno tveganje, ki se pojavi pri implementiranju sprememb v IT okolje. Proces upravljanja s
spremembami IT sistema zajema postopke zahteve, odobritve, načrtovanja, testiranja,
časovnega plana realizacije, obveščanje ostalim akterjem, izvedbe, dokumentiranja in končno
oceno.
47
Za naš primer uvedbe sistema RFID identifikacije smo glede ukrepov za znižanje tveganj v
celotni življenski dobi izvedli naslednji analizi kontrol:
-
Varnostne kontrole (Priloga 2: Tabela E)
Za obravnavani sistem se v tabeli E izvede dokumentiranje IT varnostnih kontrol, ki so že
narejene in se izvajajo ter tiste, ki so načrtovane. Varnostne kontrole so lahko predhodno
urejene s strani procesov, ki so že vzpostavljeni v organizaciji (proces upravljanja tveganj v
organizaciji, proces upravljanja IT tveganj, različne varnostne zaščite in postopki …) ali pa
kot planirane kontrole, ki jih moramo še uvesti skupaj s novim sistemom.
-
Določitev kontrol in ukrepov (Priloga 2: Tabela F)
Opredeljenim tveganjem smo določili kontrole in ostale relevantne ukrepe. Pri ukrepih se
nismo omejili samo na obravnavani sistem ali področje, ampak smo zajeli ukrepe na nivoju
celotne organizacije.
4.7
Plan obvladovanja tveganj
Za izbrani sistem RFID identifikacije želimo že pred njegovo uvedbo v organizaciji opredeliti
njegova IT tveganja. Najprej izvedemo začetno sistematično ugotavljanje tveganj, ker se
izvaja prvič. Da lahko izdelamo plan in priporočila za opredeljena tveganja, moramo
predhodno izvesti naslednje korake:
-
Opredelitev verjetnosti tveganj (Priloga 2: Poglavje 5)

Definiranje verjetnosti tveganj (Priloga 2: Tabela G)
Podamo definicijo za ocenitev verjetnosti tveganj, ki je presek učinkovitosti vpliva kontrol in
verjetnosti pojava groženj ali motiviranosti in zmožnosti uresničitve grožnje.

Ovrednotenje verjetnosti tveganj prikazuje tabela 4.3 (Priloga 2: Tabela H).
Tabela 4.3: Ovrednotenje verjetnosti tveganj
Št.
tveganja
1
2
Tveganje
Ocenitev verjetnosti tveganj
Ocena verjetnosti
tveganja
Izguba delujočega
strežnika. Ni možna
izdelava novih RFID značk.
Izguba razpoložljivosti
sistema in podatkov.
Strežnik se vključi v obstoječi IT sistem v
organizaciji kot virtualni strežnik. Za
takšen način postavitve strežnika so že
izvedeni vsi potrebni postopki in ukrepi.
Učinkovitost kontrol je visoka. Pogostost
izgub IT HW opreme je glede na izkušnje
redka.
Nizko
Zaradi odtujitve HW
opreme delo operaterjev ni
Objekt, v katerem poteka delo operaterjev,
Nizko
48
Št.
tveganja
3
4
5
6
7
8
9
10
Tveganje
Ocenitev verjetnosti tveganj
Ocena verjetnosti
tveganja
mogoče. Finančna škoda.
Zmanjšana razpoložljivost
sistema.
ima vzpostavljene ukrepe tehničnega
varovanja (protivlomni sistem, sistem
pristopne kontrole) in organizacijske
ukrepe (skladišče, sef). Kontrole sistemov
za zaščito se izvajajo.
Zakasnjeno ukrepanje v
primeru požara. Ogroženi
zaposleni in oprema.
Posledično zmanjšana
razpoložljivost sistema.
Objekt trenutno še nima vzpostavljenega
sistema protipožarne zaščite, je pa planiran.
Ostali ukrepi protipožarne zaščite
(gasilniki, požarni red, izobraževanje, pot
evakuacije) so izvedeni in kontrolirani.
Srednje
Izguba napajalne napetosti
lahko povzroči nedelovanje
strežnika in zmanjša
razpoložljivost sistema.
Redundantna naprava brezprekinitvenega
napajanja (UPS) je trenutno nedelujoča.
Ukrepi v zvezi s tem so izvedeni, popravilo
planirano. Sistem je še vedno rezervno
napajan iz primarne UPS naprave, kontrole
se izvajajo.
Srednje
Nepravilno oziroma
neavtorizirano delovanje
določenih RFID
kartic.Zmanjšana celovitost
podatkov.
Poneverba zapisa podatkov ali napaka pri
zapisu podatkov je možna s strani
človeškega faktorja (operaterji). Izvedeni
vsi ukrepi glede izobraževanja operaterjev
in internih kontrol. Delo operaterjev
nadzorovano s strani vodje oddelka.
Nizko
Začasna prekinitev izdelave
novih RFID kartic.
Zmanjšana razpoložljivost
sistema.
Možna prekinitev dobave RFID kartic s
strani dobavitelja. Trenutno je samo en
dobavitelj. Potrebno izvesti postopek izbire
za pridobitev alternativnega ponudnika.
Varnostna zaloga (količina RFID kartic) se
preverja dnevno.
Srednje
Izmenjava podatkov na
povezane sisteme ni možna,
posledično zmanjšana
razpoložljivost sistema.
Izguba povezave med sistemom RFID
identifikacije in povezanimi sistemi, ki
uporabljajo RFID identifikacijo, ni kritične
narave, ker so vsi sistemi vključeni v
enoten IT sistem. Skrbniki povezanih
sistemov izvajajo potrebne ukrepe,
kontrole so učinkovite. Pogostost napak je
redka, vplivali bi samo na ažurnost
podatkov.
Nizko
Izkoriščanje avtorizacij v
RFID sistemih. Zmanjšana
zaupnost sistema in
podatkov.
Izguba kartice je človeški faktor in ga ne
moremo zanemariti. Zaposleni morajo
glede na spoštovanje organizacijske kulture
vestno uporabljati identifikacijska sredstva
in spoštovati hišni red (prijava izgube,
kraje). Izvedeni vsi ukrepi (preklic
delovanja kartice) in kontrole v zvezi s
tem. Pogostost je srednja, ocenjujemo, da
še vedno previsoka.
Srednje
Razbitje zaščitnega
mehanizma prenosa
podatkov med kartico in
čitalnikom. Posledično
izguba zaupnosti podatkov.
Uporabljena tehnologija nudi ustrezno
varnostno zaščito. Vsi ostali ukrepi in
kontrole so izvedeni.
Pogostost pojava tveganja se ocenjuje kot
nizko v okviru organizacije.
Nizko
Neavtorizirano delovanje
večjega števila RFID kartic
v aplikacijah za RFID
identifikacijo. Izguba
Uporabljena tehnologija nudi ustrezno
varnostno zaščito za preprečitev izdelave
duplikatov iz zunanjega okolja. V okviru
Nizko
49
Št.
tveganja
11
12
Tveganje
Ocenitev verjetnosti tveganj
Ocena verjetnosti
tveganja
zaupnosti podatkov in
sistema.
organizacije so izvedeni ukrepi in sprožene
ustrezne kontrole proti izdelavi podvojenih
kartic in njihovi uporabi. Ocena za
pogostost tveganja je nizka.
Izguba temeljne varnostne
zaščite sistema. Izguba
celovitosti in zaupnosti
podatkov ter sistema.
Za zaščito konfiguracijskega profila
(podatki) in varnosti prenosa podatkov
(prenos) uporabljena tehnologija nudi
ustrezno zaščito. Izvedeni so ukrepi in
zaščite na nivoju standarda in proizvajalca.
Motiviranost za uresničitev grožnje lahko
ocenimo za srednjo tudi v okviru zunanjega
okolja, elementi učinkovitosti kontrol pa so
visoki.
Nizko
Izkoriščanje avtorizacij v
RFID sistemih brez
uporabe ID kartic.
Zmanjšana zaupnost
podatkov.
Uporabljena tehnologija nudi ustrezno
varnostno zaščito. Vsi ostali ukrepi in
kontrole so izvedeni.
Pogostost pojava tveganja se ocenjuje kot
nizka v okviru organizacije. Motiviranost
se trenutno ocenjuje z nizko oceno.
Nizko
Vir: Škedelj, lastni prikaz (2014)
Tabela 4.3 podaja oceno verjetnosti tveganja za vsako podano tveganje. Nobeno tveganje ni
doseglo ocene visoko, 4 tveganja so pridobila oceno srednje, ostala tveganja pa nizko oceno.
-
Analiza vpliva (Priloga 2: Poglavje 6)

Obrazložitev razdelitve vpliva tveganj (Priloga 2: Tabela I)
Tabela podaja oceno vpliva tveganja (visoko, srednje, nizko) glede podane obrazložitve
vpliva.

Tabela analize vpliva tveganj glede na posamezna tveganja (tabela 4.4)
(Priloga 2: Tabela J)
50
Tabela 4.4: Analiza vpliva tveganja
Št. tveganja
Tveganje
Vpliv tveganja
Ocena vpliva
tveganja
Sistem nedelujoč za operativno delo.
Na delovanje obstoječih kartic ne
vpliva. Na delovanje povezanih
sistemov vpliva deloma.
Visoko
1
Izguba delujočega strežnika. Ni
možna izdelava novih RFID značk.
Izguba razpoložljivosti sistema in
podatkov.
Ni mogoče delo operaterjev.
Finančna škoda. Zmanjšana
razpoložljivost sistema.
Ni možno operativno delo in izdaja
novih kartic. Na delovanje
obstoječih kartic ne vpliva.
Srednje
2
Zakasnjeno ukrepanje v primeru
požara. Ogroženi zaposleni in
oprema. Posledično zmanjšana
razpoložljivost sistema.
Izguba napajalne napetosti lahko
povzroči nedelovanje strežnika in
zmanjša razpoložljivost sistema.
Nepravilno oziroma neavtorizirano
delovanje določenih RFID kartic.
Zmanjšana celovitost podatkov.
Začasna prekinitev izdelave novih
RFID kartic. Zmanjšana
razpoložljivost sistema.
Ni možna izmenjava podatkov na
povezane sisteme, posledično
zmanjšana razpoložljivost sistema.
Ni možno operativno delo in izdaja
novih kartic.
Srednje
Sistem nedelujoč za operativno delo.
Visoko
3
4
5
6
7
Izkoriščanje avtorizacij v RFID
sistemih. Zmanjšana zaupnost
sistema in podatkov.
Razbitje zaščitnega mehanizma
prenosa podatkov med kartico in
čitalnikom. Posledično izguba
zaupnosti podatkov.
Neavtorizirano delovanje večjega
števila RFID kartic v aplikacijah za
RFID identifikacijo. Izguba
zaupnosti podatkov in sistema.
Izguba temeljne varnostne zaščite
sistema. Izguba celovitosti in
zaupnosti podatkov ter sistema.
Izkoriščanje avtorizacij v RFID
sistemih brez uporabe ID kartic.
Zmanjšana zaupnost podatkov.
8
9
10
11
12
Izkoriščanje avtoriziranih pravic pod
lažno identiteto.
Srednje
Motena izdelava novih kartic.
Srednje
Neažurni podatki med sistemom
RFID identifikacije in povezanim
sistemom.
Srednje
Izkoriščanje avtoriziranih pravic pod
lažno identiteto.
Srednje
Sistem ne izpolnjuje več predpisanih
varnostnih zaščit.
Visoko
Sistem ne izpolnjuje več predpisanih
varnostnih zaščit.
Visoko
Sistem ne izpolnjuje več predpisanih
varnostnih zaščit.
Visoko
Sistem ne izpolnjuje več predpisanih
varnostnih zaščit.
Visoko
Vir: Škedelj, lastni prikaz (2014)
Iz tabele 4.4 izhaja, da je polovica zajetih tveganj dobila visoko oceno za vpliv tveganja,
ostala polovica pa oceno srednje.
-
Določitev tveganja (Priloga 2: poglavje 7)

Matrika ocene tveganja (Priloga 2: Tabela K)
51
Tabela predpisuje kriterije, ki so uporabljeni za določitev skupne ocene tveganja.

Ocenitev skupnega tveganja za obravnavana tveganja podaja tabela 4.5
(Priloga 2: Tabela L)
Tabela 4.5: Ocenitev skupnega tveganja
Št. tveganja
1
2
3
4
5
6
7
8
9
10
11
12
Tveganje
Izguba delujočega strežnika. Ni
možna izdelava novih RFID
značk. Izguba razpoložljivosti
sistema in podatkov.
Ni mogoče delo operaterjev.
Finančna škoda. Zmanjšana
razpoložljivost sistema.
Zakasnjeno ukrepanje v primeru
požara. Ogroženi zaposleni in
oprema. Posledično zmanjšana
razpoložljivost sistema.
Izguba napajalne napetosti lahko
povzroči nedelovanje strežnika in
zmanjša razpoložljivost sistema.
Nepravilno oziroma
neavtorizirano delovanje
določenih RFID kartic.Zmanjšana
celovitost podatkov.
Začasna prekinitev izdelave novih
RFID kartic. Zmanjšana
razpoložljivost sistema.
Izmenjava podatkov na povezane
sisteme ni možna, posledično
zmanjšana razpoložljivost
sistema.
Izkoriščanje avtorizacij v RFID
sistemih. Zmanjšana zaupnost
sistema in podatkov.
Razbitje zaščitnega mehanizma
prenosa podatkov med kartico in
čitalnikom. Posledično izguba
zaupnosti podatkov.
Neavtorizirano delovanje večjega
števila RFID kartic v aplikacijah
za RFID identifikacijo. Izguba
zaupnosti podatkov in sistema.
Izguba temeljne varnostne zaščite
sistema. Izguba celovitosti in
zaupnosti podatkov ter sistema.
Izkoriščanje avtorizacij v RFID
sistemih brez uporabe ID kartic.
Zmanjšana zaupnost podatkov.
Ocena verjetnosti
tveganja
Ocena vpliva
tveganja
Ocena skupnega
tveganja
Nizko
Visoko
Nizko
Nizko
Srednje
Nizko
Srednje
Srednje
Srednje
Srednje
Visoko
Srednje
Nizko
Srednje
Nizko
Srednje
Srednje
Srednje
Nizko
Srednje
Nizko
Srednje
Srednje
Srednje
Nizko
Visoko
Nizko
Nizko
Visoko
Nizko
Nizko
Visoko
Nizko
Nizko
Visoko
Nizko
Vir: Škedelj, lastni prikaz (2014)
52
Tabela 4.5 podaja skupno oceno tveganja na podlagi matrike ocene tveganja in tako 4
tveganja dobijo skupno oceno tveganja srednje, 8 tveganj dobi oceno nizko, medtem ko
tveganj s skupno oceno visoko ni.
Ko imamo skozi opisane predhodne postopke pridobljene vse potrebne ocene, lahko podamo
še priporočila za posamezna tveganja, ki jih upoštevamo kot plan.
-
Priporočila kontrole (Priloga 2: Poglavje 8)

Tabela 4.6 definira priporočila kontrole (Priloga 2: Tabela M), ki jih lahko
upoštevamo kot plan pri izvajanju ukrepov pri upravljanju s tveganji za
obravnavani IT sistem.
Tabela 4.6: Priporočila kontrole
Št. tveganja
1
2
3
4
5
Tveganje
Izguba delujočega
strežnika. Ni možna
izdelava novih RFID
značk. Izguba
razpoložljivosti
sistema in podatkov.
Ni mogoče delo
operaterjev.
Finančna škoda.
Zmanjšana
razpoložljivost
sistema.
Zakasnjeno
ukrepanje v primeru
požara. Ogroženi
zaposleni in oprema.
Posledično
zmanjšana
razpoložljivost
sistema.
Izguba napajalne
napetosti lahko
povzroči
nedelovanje
strežnika in zmanjša
razpoložljivost
sistema.
Nepravilno oziroma
neavtorizirano
delovanje določenih
RFID
kartic.Zmanjšana
celovitost podatkov.
Ocena tveganja
Priporočila
Nizko
Ni potrebnih priporočil. Predvideni novi sistem
RFID identifikacije se v celoti na standarden, potrjen
in preiskušen način uvrsti v obstoječi IT sistem.
Posebnosti ni.
Nizko
Lastnik sistema naj sledi predvidenim in
vzpostavljenim ukrepom za tehnično varovanje
objekta. Novo zaposleni operaterji morajo biti
izobraženi za to področje.
Srednje
Lastnik sistema naj kontrolira izvedbo planiranega
projekta za vzpostavitev protipožarnega varovanja na
objektu.
Srednje
Skrbnik sistema kontrolira izvedbo servisnega
popravila glede na predvideni plan. Obveščanje
lastnika o izvedbi.
Ni posebnih priporočil.
Nizko
53
6
7
8
9
10
11
12
Začasna prekinitev
izdelave novih RFID
kartic. Zmanjšana
razpoložljivost
sistema.
Ni možna izmenjava
podatkov na
povezane sisteme,
posledično
zmanjšana
razpoložljivost
sistema.
Izkoriščanje
avtorizacij v RFID
sistemih. Zmanjšana
zaupnost sistema in
podatkov.
Srednje
Razbitje zaščitnega
mehanizma prenosa
podatkov med
kartico in
čitalnikom.
Posledično izguba
zaupnosti podatkov.
Neavtorizirano
delovanje večjega
števila RFID kartic v
aplikacijah za RFID
identifikacijo. Izguba
zaupnosti podatkov
in sistema.
Izguba temeljne
varnostne zaščite
sistema. Izguba
celovitosti in
zaupnosti podatkov
ter sistema.
Izkoriščanje
avtorizacij v RFID
sistemih brez
uporabe ID kartic.
Zmanjšana zaupnost
podatkov.
Nizko
Skrbnik sistema stalno seznanjen z novostmi in
statusom obstoječih RFID tehnologij.
Nizko
Skrbnik sistema stalno seznanjen z novostmi in
statusom obstoječih RFID tehnologij.
Nizko
Skrbnik sistema stalno seznanjen z novostmi in
statusom obstoječih RFID tehnologij.
Nizko
Skrbnik sistema stalno seznanjen z novostmi in
statusom obstoječih RFID tehnologij.
Delovna skupina naj takoj prične z iskanjem
nadomestnega dobavitelja RFID kartic.
Skrbnik sistema izvede pred uvedbo na produkcijo
potrebne teste.
Ni posebnih priporočil.
Nizko
Lastnik sistema predlaga način personalizacije
kartice s potiskom in predvidi ukrepe za preverjanje.
Kontrola spoštovanja hišnega reda.
Predlaganje predlogov vodstvu za dvig
organizacijske kulture.
Srednje
Vir: Škedelj, lastni prikaz (2014)
Navedena priporočila je potrebno pri uvedbi sistema RFID identifikacije upoštevati in
realizirati. Pred zagonom sistema v produkcijo bi bilo priporočljivo ponoviti analizo tveganj
za sistem in s tem opredeliti stanje IT tveganj pri vstopu v produkcijo sistema. V operativni
dobi delovanja sistema se predvideva ovrednotenje IT tveganj periodično enkrat letno
oziroma glede na plan, ki ga definira proces upravljanja tveganj v organizaciji. V primeru
večje spremembe na sistemu se mora analiza IT tveganja obvezno izvesti.
54
4.8
Tabela analize tveganj
V prilogi (Priloga 2: Poročilo ovrednotenja IT tveganj za sistem RFID identifikacije) je
prikazana celotna dokumentacija ovrednotenja IT tveganj za sistem RFID identifikacije v
organizaciji po izbrani metodologiji NIST SP 800-30. Časovni zajem opravljene analize je
izveden pred samo uvedbo sistema v organizacijo. Priloga zajema analize tveganj za navedeni
sistem in obsega 13 samostojnih tabel in končno dokazilo, ki je povzetek vseh rezultatov
analize IT tveganj po izbrani metodologiji.
Predlog odgovornim deleležnikom v sistemu upravljanja tveganj bi bil, da se za tveganja, ki
imajo skupno oceno tveganja srednje, predvidi izvedba predvidenih ukrepov in priporočil.
Cilj je, da bi bili ob naslednji izvedbi analize tveganj, se pravi ob zagonu v produkcijskem
okolju, vsi ukrepi izvedeni in bi skupno oceno teh tveganj posledično znižali na oceno nizko.
Ostala tveganja, ki imajo sedaj skupno oceno nizko, sprejmemo, ker nimajo posebnih
priporočil glede ukrepov.
4.9
Predlogi za izboljšanje
Glede samega postopka ovrednotenja tveganj in izvedbe analize lahko glede na pridobljene
izkušnje predlagamo naslednje predloge za izboljšave:
-
Uvedba programskih orodij za upravljanje tveganj,
-
Vzpostavitev učinkovitega sistema dokumentiranja.
Oba predloga bi pripomogla k zmanjšanju časa priprave analize. Programske
rešitve
omogočajo enovito in enostavno upravljanje, pridobijo hitro oceno stanja in stroškov
obravnavanih tveganja ter nudijo spremljanje izvajanja potrebnih ukrepov za njihovo
zmanjševanje. Takšne rešitve imajo že vgrajen katalog groženj in ranljivosti oziroma ga
uporabnik sproti dopolnjuje. Realizacija obeh predlogov bi tudi poenostavila pregled nad
vsemi ukrepi, stroški in tveganji, ki jim je organizacija izpostavljena. Glede organizacijskih
predlogov lahko predlagamo naslednje predloge:
-
Uvedba standardov, orodij in metodologij za upravljanje IT tveganj
Kot naslednji predlog za izboljšanje bi bil predlog, da se organizacije odločijo za uvedbo in
certificiranje standardov iz družine ISO/IEC 27000. Standardi iz te družine imajo končni cilj,
ki organizacijo obveže na spoštovanje vseh potrebnih ukrepov in aktivnosti, s katerimi bo
55
poskrbela za zaščito svojih poslovnih podatkov in svojih poslovnih partnerjev, v vseh aspektih
poslovanja in ob upoštevanju načela tajnosti in celovitosti. Izbira orodij in metodologije za
ovrednotenje tveganj je v celoti prepuščena posamezni organizaciji. S pridobljenimi rezultati
naloge lahko potrdimo, da je metodologija NIST 800-30 primerna kot izbira metodologije za
upravljanje tveganj.
5
ZAKLJUČEK
Tematika raziskovalnega dela je bilo področje upravljanja tveganj v organizaciji s poudarkom
na upravljanju IT tveganj. Kot predmet obravnave smo vzeli sodobno, s strani informacijske
tehnologije (IT) podprto organizacijo, ki je s svojim poslovanjem vpeta v dinamično in
spremenljivo globalno mednarodno okolje. Takšna vpetost v notranje in zunanje okolje
organizacijo izpostavlja stalnim spremembam in prilagoditvam na njeni poslovni poti, ki sledi
opredeljenim strateškim ciljem in poslanstvu. Vse takšne spremembe za organizacijo
pomenijo določena tveganja, bodisi pozitivna ali negativna, in naloga sleherne organizacije je,
da ta tveganja prepoznava in upravlja. Zanemarjanje ali celo ignoriranje tveganj ima lahko za
organizacijo negativne poslovne izkušnje in poslabšanje njenega trenutnega strateškega
položaja. Organizacije morajo poskrbeti za sistematično upravljanje z identificiranimi
tveganji, ki mora biti skladno s potrebami, strategijo ter okoljem, v katerem organizacija
deluje. Organizacije morajo vzpostavljeni proces upravljanja s tveganji stalno izvajati,
kontrolirati in po potrebi ažurirati in dopolnjevati. IT tveganja predstavljajo za organizacijo
strateška tveganja, saj s svojo razvejanostjo in vpetostjo stojijo za vsakim pomembnim
procesom in funkcijo v organizaciji. V nadaljevanju tudi ugotovimo, da se globalna
informacijska infrastruktura nenehno razvija, išče vedno nove in hitrejše poti za izvedbo IT
procesov. Najpomembnejši člen IT infrastrukture so podatki, zato je njihovemu prenosu,
obdelavi in hrambi namenjena posebna pozornost v smislu zaupnosti, celovitosti in
razpoložljivosti.
V tretjem poglavju je izvedena predstavitev različnih standardov, metodologij in orodij, s
katerimi lahko organizacije uvedejo in vzdržujejo proces upravljanja IT tveganj. Standard
ISO/IEC 27005 podaja smernice za uvedbo procesa za upravljanje z IT tveganji v
56
organizaciji, pri tem pa ne specificira lastne metodologije za analizo IT tveganj, katere izbira
je prepuščena organizacijam. Da lahko izvedemo potrebno analizo IT tveganj, organizacija
glede na svojo specifiko izbere ustrezno metodo ali orodje. Predstavljene so različne metode,
pri čemer je metoda FMEA široko uporabljena predvsem v industrijskih organizacijah. Njeno
prvotno poslanstvo, kvantitativna evaluacija za potrebe obvladovanja celovite kakovosti, se
lahko razširi tudi kot metoda, s katero zmanjšamo tveganja informacijske varnosti. Pri njeni
uvedbi moramo biti pozorni, saj zahteva dobro organizirano timsko delo, ki ključno vpliva na
hitrost in usklajenost dela. Metodologiji Risk IT in NIST SP 800-30 se lahko implementirata
v vsako organizacijo, ne glede na njeno velikost. Podobni sta si glede natančne opredelitve
organizacijskih vprašanj in izbire pravilnih taktik za izvedbo analize IT tveganj. Razlika, ki
sem jo opazil, je ta, da metoda Risk IT celoviteje podaja predlagano sestavo strokovnega tima,
ki je zadolžen za izvedbo posamezne faze. Metodologija po NIST podaja natančno
opredelitev posameznih vlog, medtem ko ne podaja sestave tima.
V zaključnem poglavju je uspešno izvedena analiza IT tveganj na izbranem sistemu RFID
identifikacije po metodologiji NIST. Predhodno smo analizirali obstoječi sistem, ki temelji na
RFID tehnologiji starejše generacije (kartice 125 kHz), ki ima, kot smo ugotovili, preveč
varnostno spornih vprašanj glede zaščite podatkov, ki se izmenjujejo preko sistemov za RFID
identifikacijo. Opravljena SWOT analiza je pokazala veliko pomanjkljivosti in groženj glede
varnega prenosa podatkov. Predlagamo, da organizacije izberejo novejše generacije RFID
tehnologij, ki jim omogočajo samostojno upravljanje nad uvedbo in uporabo RFID sistema ter
varnostjo podatkov. Predlagali smo RFID tehnologijo novejše generacije (kartice 13,56 MHz)
in njeno celostno upravljenje znotraj same organizacije. Izvedena analiza tveganja pred samo
uvedbo RFID sistema je pokazala, da ni kritično visokih skupnih ocen tveganj glede
varnostnih vprašanj za RFID kartice. Določena priporočila in ukrepi se nanašajo na samo
operativno delo in prostore, kjer se bo proces predvidoma izvajal. Analiza je tudi pokazala, da
se določena priporočila ne nanašajo na direktne ukrepe za izvedbo, ampak jih lahko izpeljemo
preko dviga in izboljšanja organizacijske kulture v podjetju. Tu je mišljeno predvsem
odgovorno in pravilno rokovanje z RFID značkami znotraj vseh RFID procesov v
organizaciji.
Uporabljena metodologija po NIST se je izkazala kot primerna za izvedbo analize tveganj
obravnavanega IT sistema, saj je podala celostno in kvalitetno oceno glede evidentiranja
57
tveganj, ovrednotenja tveganj in pridobitve ustreznih ukrepov in priporočil za zmanjšanje IT
tveganj.
Predlog za nadaljnjo raziskovanje je še pridobitev ugotovitev o primernosti rabe tako
imenovanih hibridnih kartic, kjer sta v eni kartici združeni brezkontaktna RFID tehnologija in
kontaktna PKI tehnologija. Enako bi lahko izvedli analizo IT tveganj še pred uvedbo samega
sistema v organizaciji.
Končni zaključek bi bil, da RFID tehnologija prinaša organizacijam številne prednosti pri
njenem poslovanju, saj zajame zelo široke možnosti področje uporabe. Pri uvedbi in zasnovi
RFID tehnologije moramo biti pazljivi, saj tovrstno tehnologijo vgrajujemo za uporabo v
daljšem časovnem obdobju. Treba je upoštevati, da le premišljena in skrbno načrtovana
zasnova in uporaba RFID tehnologije ne bosta ogrožali delovanja sistemov in procesov z IT
tveganji. Analiza IT tveganj, znotraj vzpostavljenega procesa upravljanja tveganj v
organizaciji, je ena od koristnih analiz, ki podaja oceno primernosti uvedbe sistema z vidika
vprašanja IT tveganj. Za vse organizacije, ne glede na velikost in obliko, je priporočljivo, da
uvedejo učinkovit proces obvladovanja tveganj, za katerega so prepričani, da jim bo kljub
nastanku in vplivu tveganj omogočal doseganje začrtanih poslovnih ciljev.
58
6
LITERATURA IN VIRI
1. ANDRESS, JASON (2011) The Basics Of Information Security. Oxford: Elservier.
2. ASHENDEN, DEBI in JONES, ANDY (2005) Risk Management for Computer
Security. Oxford: Elsevier.
3. BENANTAR, MESSAOUD (2006) Access Control Systems. Austin: Springer.
4. BERK, TOMAŽ, PETERLIN, JOŽKO in RIBARIČ, PETER (2005) Obvladovanje
tveganja. Ljubljana: GV Založba.
5. BERNIK, IGOR (2010) Proces upravljanja s tveganji v informacijski varnosti.
Maribor: Fakulteta za varnostne vede v Mariboru.
6. BERTONCELJ, ANDREJ, MEŠKO, MAJA, NARALOČNIK, ANDREJ in
NASTRAN, BOJAN (2011) Trajnostni razvoj organizacije. Ljubljana: GV Založba.
7. BEŠTER, JANEZ in KOS, ANDREJ (2009) Slovenska informacijska infrastruktura.
Dostopno prek: http:// www.ltfe.org/wp-content/uploads/2009/07/AKos2000-SIinformacijska-infrastruktura.pdf (3. 4. 2014).
8. BUKOVEC, BORIS (2005) Sovpadanje temeljnih gradnikov različnih modelov
obvladovanja organizacijskih sprememb. Zbornik 24. Mednarodne konference o
razvoju organizacijskih znanosti. Portorož, str. 707–714.
9. BUKOVEC, BORIS (2006) Management človeških virov in obvladovanje
organizacijskih sprememb. Organizacija, 39 (2), str. 117–123.
10. DeLUCCIA, JAMES (2008) IT Compliance and Controls. New Jersey: Wiley.
11. DOBROVIĆ, TOMISLAV (2006) FMEA metoda u upravljanju rizicima. Zagreb:
Regos.
12. ECONOMIST INTELLIGENCE. Best practise in risk management. Dostopno prek:
http://www.managementthinking.eiu.com/sites/default/files/eiu_Risk_Management.pd
f (11. 1. 2014).
59
60
13. EPSTEIN, J. MARC in BUHOVAC REJC, ADRIANA (2006) The Reporting of
Organizational Risks for Internal and External Decision-Making. Dostopno prek:
http://www.ef.uni-lj.si/docs/osebnestrani/RiskReporting_Epstein_RejcBuhovac.pdf
(24. 3. 2014).
14. FERINGA, ALEXIS, GOGUEN, ALICE in STONEBURNER, GARY. Risk
Management Guide for Information Technology Systems. Dostopno prek:
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf (6. 2. 2014).
15. HEROLD, REBECCA (2011) The Practical Guide To Managing Risks. Dostopno
prek: http://ctcairns.com.au/files/2011/12/managing-risk.pdf (7. 1. 2014).
16. HORJAK, MARJETA. Vpliv varne informacijske tehnologije na ekonomsko uspešnost
podjetja. Dostopno prek: http:// www.mfc-2.si/uplodas/news/id32/horjak vpliv varne
informacijske tehnologije na ekonomsko uspesnost podjetja.pdf (15. 2. 2014).
17. HUDOKLIN, ALENKA in ROZMAN, VOJAN (2004) Zanesljivost in razpoložljivost
sistemov človek-stroj. Kranj: Moderna organizacija.
18. ISACA. Risk IT Framework for Management of IT Related Business Risks. Dostopno
prek: http://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages
Risk-IT1.aspx (14. 2. 2014).
19. ISACA (2009) The Risk IT Framework. Dostopno prek: http://
www.isaca.org/Knowledge-Center/Research/Documents/RiskIT-FW-Excerpt8Jan09.pdf (29. 2. 2014).
20. ISO/IEC 27001:2005 (2005) Information Technology – Security techniques –
Information security management systems – Requirements. Ljubljana: Inštitut IZIV.
21. ISO/IEC 27005:2008 (2008) Information Technology – Security techniques –
Information security risk management. International organisation for Standardization.
Dostopno prek: http://www.iso27001security.com/html/27005.html (29. 2. 2014).
22. ISO. Dostopno prek: http://www.iso.org (20.2.2014).
61
62
23. JEREB, BORUT in ŠKORNIK, MATEJA (2009) Upravljanje informacijskih tveganj
po ISO/IEC 27005:2008. 17. mednarodna konferenca o revidiranju in kontroli
informacijskih sistemov, Zbornik referatov. Ljubljana: Slovenski inštitut za revizijo,
str. 9–28.
24. KOVAČIČ, ANDREJ in BOSILJ VUKŠIĆ, VESNA (2005) Management poslovnih
procesov: prenova in informatizacija poslovanja s praktičnimi primeri. Ljubljana: GV
Založba.
25. NIST (2002) Nist Special Publication 800-30. National Institute of Standards and
Technology. Dostopno prek: http://csrc.nist.gov/publications/nistpubs/800-30/sp80030.pdf (10. 2. 2014).
26. NIST (2012) Nist Special Publication 800-30 Revision 1. National Institute of
Standards and Technology. Dostopno prek: http://csrc.nist.gov/publications/nistpubs/
800-30-rev1/sp800_30_r1.pdf (15. 2. 2014).
27. NXP. Dostopno prek: http://www.nxp.com/applications/access-management/physicalaccess-management.html (15.1.2014).
28. OSWALD, DAVID in PAAR, CHRISTOF (2011) Breaking Mifare DESFire
MF3ICD40: Power Analysis and Templates in the Real World. Bochum: RuhrUniversity. Dostopno prek: http://www.iacr.org/workshops/ches/ches2011/
presentations/ Sessions%205/CHES2011_Session%_1.pdf (30. 3. 2014).
29. ŠKORNIK, MATEJA (2010) Upravljanje informacijskih tveganj po NIST SP 800-30.
Dnevi slovenske informatike 2010 – DSI, zbornik prispevkov. Ljubljana: Slovensko
društvo Informatika.
30. ŠKORNIK, MATEJA in ŠKORNIK, VLADISLAV (2010) Proces upravljanja
informacijskih tveganj. Znanje in poslovni izzivi globalizacije v letu 2010: zbornik
referatov: 2. mednarodna znanstvena konferenca. Celje: Fakulteta za komercialne in
poslovne vede, str. 611–622.
31. ŠOSTAR, ADOLF (2000) Management kakovosti. Maribor: Fakulteta za strojništvo.
63
64
32. URAD ZA NADZOR PRORAČUNA RS (2004) Upravljanje s tveganji in analiza
tveganj, Twinning project SI 04/IB/FI/01. Dostopno prek: http:// www.unp.gov.si/
fileadmin/ unp.gov.si/ pageuploads/notranji_nadzor/Upravljanje_ s_tveganji.pdf (3.
3. 2014).
33. WEE, HON, TAN (2009) Practical Attacs on the MIFARE Classic. London: Imperal
College, Department of Computing. Dostopno prek: http://doc.ic.ac.uk/~mgv98/
MIFARE_files/report.pdf (27. 3. 2014).
34. WICKHAM, FRANK (2007) A practical Approach to Security Risk Management.
ISSA Journal, November 2007, str. 23–26.
35. ŽIVKOVIĆ, SLOBODAN (2009) Primjena metode analize grešaka i njihovih
posledica (FMEA) u analizi informaciono bezbjedonosnih rizika: Dostopno prek:
http://www.cqm.rs/2009/pdf/36/30.pdf (18. 1. 2014).
65
66
PRILOGI
Priloga 1: Preglednica uporabljenih kratic
Priloga 2: Poročilo ovrednotenja IT tveganj za sistem RFID identifikacije
Priloga 1: Preglednica uporabljenih kratic
Kratica
Ang.pomen
Pomen
AES
Advanced Encryption Standard
enkripcijski algoritem za simetrično
šifriranje
CIA triada Confidentiality, Integrity, Availability
zaupnost, celovitost, razpoložljivost
CISA
Certified Information Systems
Auditor
certificiran presojevalec IT sistemov
DB
DataBase
podatkovna baza
DES
Data Encryption Standard
enkripcijski algoritem za simetrično
šifriranje
ERP
Enterprise Risk Management
celovito obvladovanje tveganj
FMEA
Failure Mode and Effects Analysis
analiza verjetnosti in vpliva napak
GII
Global Information Infrastructure
globalna informacijska infrastruktura
GMP
Good Manufactory Praxis
dobra proizvodna praksa
HW
Hardware
strojna oprema
IKT
/
informacijska in komunikacijska
tehnologija
ISACA
Information Systems Audit and
Control Association
mednarodna organizacija za kontrolo in
certifikacijo IT sistemov
ISO / IEC
International Organization for
Standardization
mednarodna organizacija za standardizacijo
IT
Information Technology
informacijska tehnologija
ITU-T
/
mednarodna standardizacijska organizacija
za telekomunikacije
NFC
Near Field Communication
sistem za bližnjo komunikacijo
NIST
The USA National Institute of
Standards and Technology
ameriški nacionalni inštitut za
standardizacijo in tehnologijo
PC
Personal Computer
osebni računalnik
PDCA
Plan-Do-Check-Act
procesni model NSPU (Načrtuj-StoriPreveri-Ukrepaj)
PIN
Personal Identification Number
osebna identifikacijska koda
PKI
Public Key Infrastructure
infrastruktura javnih ključev
RFID
Radio Frequency IDentification
brezkontaktna radijska identifikacija
SQL
Structured Query Language
strukturirani povpraševalni jezik
SW
Software
programska oprema
TQM
Total Quality Management
celovito upravljanje kakovosti
Priloga 2: Poročilo analize tveganj
Poročilo ovrednotenja IT tveganj za
sistem RFID identifikacije
Novo mesto, april 2014
Danilo Škedelj
KAZALO POGLAVIJ
1
UVOD
2
KARAKTERISTIKE IT SISTEMA
3
IDENTIFIKACIJA TVEGANJ
4
ANALIZA KONTROL
5
OPREDELITEV VERJETNOSTI TVEGANJ
6
ANALIZA VPLIVA
7
DOLOČITEV TVEGANJA
8
PRIPOROČILA KONTROLE
9
DOKUMENTIRANJE REZULTATOV
SEZNAM DOKAZIL
DOKAZILO 1: MATRIKA OVREDNOTENJA TVEGANJ
SEZNAM SLIK
SLIKA 1: BLOK SHEMA SISTEMA RFID IDENTIFIKACIJA
SLIKA 2: BLOK SHEMA IZMENJAVE INFORMACIJ V SISTEMU RFID IDENTIFIKACIJE
SEZNAM TABEL
TABELA A: KLASIFIKACIJA TVEGANJA
TABELA B: IT SISTEM – OBSEG IN OPIS
TABELA C: IDENTIFICIRANE GROŽNJE
TABELA D: RANLJIVOSTI, GROŽNJE, TVEGANJA
TABELA E: VARNOSTNE KONTROLE
TABELA F: TVEGANJA – KONTROLE - FAKTORJI
TABELA G: DEFINIRANJE VERJETNOSTI TVEGANJ
TABELA H: OVREDNOTENJE VERJETNOSTI TVEGANJ
TABELA I: OBRAZLOŽITEV RAZDELITVE VPLIVA TVEGANJ
TABELA J: ANALIZA VPLIVA TVEGANJ
TABELA K: MATRIKA OCENE TVEGANJA
TABELA L: TABELA OCENITVE SKUPNEGA TVEGANJA
TABELA M: PRIPOROČILA KONTROLE
1 UVOD
Za IT sistem, ki bo v organizaciji služil kot podporni sistem za vse aplikacije, ki
uporabljajo RFID identifikacijo (evidenca delovnega časa, logistični sistemi v skladiščih,
sistem pristopne kontrole, aplikacije internega plačevanja, aplikacije evidence prisotnosti
…), se pred njegovo uvedbo izvede ovrednotenje IT tveganj.
Sistem ima delovno ime “Sistem RFID identifikacije” in predvideva zamenjavo za
obstoječi tehnološko zastareli RFID system, ki podpira standardno 125 kHz RFID
tehnologijo. Novi sistem predvideva uporabo kartice tehnologije 13,56 MHz (tip: Mifare
DESFire EV1), uvedbo pripadajoče strojne opreme in programske opreme, ki služi
upravljanju sistema.
Sistem se bo uvedlo, uporabljalo in vzdrževalo s človeškimi resursi znotraj organizacije v
celotni predvideni življenjski dobi sistema, ki bo predvidoma 10 let. Arhitektura sistema
zagotavlja visoko stopnjo zanesljivosti ob zahtevani 99 % razpoložljivosti sistema.
Sistem mora omogočati razširljivost in kasnejše nadgradnje.
Ovrednotenje tveganj se po uvedbi periodično preverja enkrat na leto oziroma ob vsaki
večji spremembi na sistemu. Monitoring pravilnega delovanja, ki lahko kaže na
uresničitev groženj, se izvaja na dnevni ravni, s pomočjo programskih orodij ali s pregledi
s strani skrbnika. S strani operaterjev na sistemu, ki so predhodno izobraženi, se zahteva
proaktivno delovanje v primeru opaženih nestandarnih napak ali sprememb na sistemu.
Sodelujoči pri ovrednotenju tveganj in njihove vloge:
Manager, odgovoren za upravljanje tveganj na nivoju organizacije; preveritev poročila na
nivoju organizacije, preveritev skladnosti glede na uvedeni proces.
Manager za korporativno IT varnost; preveritev in potrditev poročila.
Vodja IT službe ali področja; preveritev in potrditev poročila na nivoju IT službe.
Varnostni IT inženir; pomoč pri pridobitvi informacij, suport pri izvedbi.
Lastnik sistema in skrbnik sistema; pridobitev potrebnih informacij, priprava poročila.
Vsi navedeni posamezniki, ki imajo navedene vloge, prihajajo iz same organizacije. Glede
na potrebo se lahko aktivira še zunanji varnostni ekspert.
Uporaba tehnik za izvedbo ovrednotenja tveganj:
Predvideva se uporaba standardnih vprašalnikov in obrazcev iz procesa upravljanja
tveganj v organizaciji. Izvajalci morajo biti predhodno izobraženi za področja upravljanja
tveganj (interni standardni postopki, pravilniki, regulative) na nivoju organizacije.
Tabela A: Klasifikacija tveganja
Nivo
tveganja
2
Opis tveganja in potrebne aktivnosti
Visoko
Izguba razpoložljivosti, zaupnosti ali celovitosti se lahko odraža v obliki velikih
ali katastrofalnih negativnih učinkov na procese, sredstva ali posameznike v
organizaciji.
Srednje
Izguba razpoložljivosti, zaupnosti ali celovitosti se lahko odraža v obliki resnih
negativnih učinkih na procese, sredstva ali posameznike v organizaciji.
Nizko
Izguba razpoložljivosti, zaupnosti ali celovitosti se lahko odraža v obliki
omejenih negativnih učinkov na procese, sredstva ali posameznike v
organizaciji.
KARAKTERISTIKE IT SISTEMA
Tabela B: IT Sistem – Obseg in opis
IT Sistem: Sistem RFID identifikacije – Obseg in opis
I. Identifikacija in lastništvo
1_RFID
IT Sistem ID
Ime IT Sistema
Sistem RFID identifikacije
Lastnik
“Ime in priimek”
Fizična lokacija
“Lokacija objekta”
Gl. poslovna funk.
Omogočanje centralnega upravljanja RFID sistema v organizaciji.
Lastnik sistema
“Ime in priimek”
Skrbnik sistema
“Ime in priimek”
Lastnik podatkov
“Ime in priimek”
Skrbnik DB
“Ime in priimek”
II. Meje in komponente sistema
Opis in
komponenete
Distribuirana client-server aplikacija s SQL DB, ki se vključi v obstoječi
sistem strežniške in mrežne IT infrastrukture v organizaciji.
Vmesniki
HW: RFID USB čitalnik/zapisovalnik, SW: strežnik – instalacija, klient –
upravljanje. Povezava ostalih App za RFID preko skupne SQL DB.
Meje sistema
Agencija ali
organizacija
“organizacija”
“organizacija”
Samostojen, centraliziran sistem (1 strežnik, več klientov). Celoten sistem
postavljen v okvir obstoječega IT sistema. Povezava ostalih RFID aplikacij
v DB za vpis/branje podatkov. RFID kartica: 13,56 MHz Mifare DESFire ev1.
III. Predvidene povezave IT sistema RFID identifikacije na ostale sisteme
Ime IT sistema
ID IT
Lastnik IT sistema
Status sistema
sistema
Sistem
2_EDČ
“ime in priimek”
Produkcija
evidence
delovnega časa
Sistem
pristopne
3_PK
“ime in priimek”
Produkcija
kontrole
“organizacija”
Sistem
internega
plačevanja
4_IP
“ime in priimek”
Testiranje
“dobavitelj”
Sistem logistike
izdaje materiala
pri dobavitelju
5_LOG
“ime in priimek”
Planirano
IV. IT Sistem in občutljivost podatkov
Tip podatkov
Ocenitev občutljivosti podatka glede na posamezni parameter informacije
Zaupnost
Konfiguracijski
profil
Varnostni ključi
Visoka.
Razkritje profila oslabi
varnost za posamezne
povezane RFID aplikacije.
Visoka.
Razkritje ključev onemogoči
funkcijo enkripcije za RFID.
RFID memory
data
Visoka.
Zaupnost osebnih podatkov.
RFID UID
Nizka.
UID se ne uporablja v App
za RFID.
Skupna ocena
sistema za
občutljivost
podatkov in
klasifikacijo
sistema
Celovitost
Visoka.
Nepopolni podatki delno
onemogočijo povezane
RFID aplikacije.
Visoka.
Nepopolen podatek
neuporaben za izvedbo
varnostne zaščite.
Srednja.
Nepopolni podatki lahko
delno onemogočijo
povezane RFID aplikacije.
Nizka.
Tovarniški zapis podatka.
Razpoložljivost
Srednja.
Ni mogoč zapis
konfiguracijskega profila pri
izdaji novi kartic.
Srednja.
Ni mogoč zapis varnostnega
ključa, omejena varnost.
Srednja.
Zastoji pri izdaji novih kartic.
Nizka.
Se ne uporablja v
konfiguracijskem profilu.
Skupna ocena občutljivosti podatkov
Opomba.: Mora biti podana kot visoka, če je vsaj ena ocena podana kot “visoka”!
 VISOKA
 SREDNJA
 NIZKA
Klasifikacija sistema
Opomba: Glede na posamezne ocene občutljivosti.
 OBČUTLJIV
 NI OBČUTLJIV
Na sliki 1 je prikazan opis sistema RFID identifikacije v obliki blok diagrama. Razvidni sta
sistemska in mrežna arhitektura z vključitvijo vseh komponent sistema.
RFID kartice uporaba
Klient
Sistem RFID
identifikacije
RFID čitalnik
RFID kartice priprava
Print kartic
HW oprema
Aplikacija ki
uporablja RFID
kartice
RFID enkoder
RFID kartice potisk
LAN Ethernet
Sistem RFID identifikacije
Server
Sistem RFID identifikacije
Server
Aplikacija uporabe RFID
Slika 1: Blok shema sistema RFID identifikacije
Na sliki 2 je prikazana izmenjava informacij med posameznimi sklopi sistema in predvideni
vmesniki znotraj sistema RFID identifikacije.
Klient
Sistem RFID
identifikacije
RFID kartica
USB
RFID enkoder
Branje podatkov
TCP/IP
RFID
Izmenjava podatkov
Vpis podatkov
TCP/IP
Server
Aplikacija uporabe RFID
Server
Sistem RFID identifikacije
Slika 2: Blok shema izmenjave informacij v sistemu RFID identifikacije
3
IDENTIFIKACIJA TVEGANJ
Identifikacija ranljivosti
Ranljivosti so identificirane s strani strokovne skupine (varnostni inženir, lastnik sistema, skrbnik
sistema, tehnično osebje), ki poleg natančne preučitve uporabljenih tehnologij lahko kontaktira še
zunanje eksperte in pridobi dodatne informacije.
Identifikacija groženj
Grožnje so identificirane s strani strokovne skupine (varnostni inženir, lastnik sistema, skrbnik
sistema). Kot osnova služi baza znanja glede IT tveganj za sorodne sisteme, nato se preveri ostale
možne specifične grožnje za sistem. Upoštevajo se tudi negativne izkušnje s starim stanjem
(RFID 125 kHz) za RFID identifikacijo in se jih doda med možne grožnje tudi za novi sistem.
V tabeli C so prikazane identificirane grožnje.
Tabela C: Identificirane grožnje
Naravna katastrofa
Nedelujoči sistemi tehničnega
varovanja
Neavtoriziran dostop
Požar
Nepooblaščen dostop oseb do IT
prostorov
Napake pri delu operaterjev
Poplava
Sabotaža IT osebja
Tehnični izpadi HW opreme
Previsoka temperatura prostora
Sabotaža ostalega osebja
Napaka delovanja SW opreme
Previsoka vlaga prostora
Varnostni incident – prilagajanje
dostopnih pravic
Izguba DB podatkov na strežniku
Izpad električne napetosti
Varnostni incident – distribucija
zlonamerne SW opreme
Izguba sistemskih podatkov na
strežniku
Odpoved delovanja
protipožarnega sistema
Prekinitev dobave RFID kartic na
trgu
Neustrezna varnostna kopija SW
opreme
Odtujitev fizične HW opreme
Odpoved delovanja “Aircondition” naprav
Neustrezen zunanji suport
Izguba varnostnih ključev
Zlonamerna uporaba ali poseg
Izguba RFID kartice s strani
uporabnika
Identifikacija tveganj
Tveganja so identificirana s strani strokovne skupine (varnostni inženir, lastnik sistema, skrbnik
sistema). Identificirajo se tveganja s strani IT sistema, uporabljenih podatkov in same
organizacije procesa dela in sistema.
V Tabeli D so prikazane ranljivosti sistema, ki jih lahko izkoristijo grožnje in s tem povzročijo
IT tveganja na obravnavanem sistemu.
Tabela D: Ranljivosti, grožnje, tveganja
Tveganje
Št.
Grožnja
Ranljivost
Sistem se fizično
nahaja samo v enem
prostoru.
Naravna katastrofa.
Nedelovanje
sistemov tehničnega
varovanja.
Odtujitev fizične HW
opreme.
Prostor, kjer se
nahajajo PC-klienti,
ni protipožarno
varovan.
Požar.
Trenutna okvara
redudantne UPS
naprave za napajanje
strežnika.
Izpad električne
napetosti.
Sabotaža ostalega
osebja.
5
Poneverba ali
napaka zapisa
podatkov.
6
Izguba varnostne
zaloge RFID kartic.
Prekinitev dobave
RFID kartic na trgu.
Ni povezave na
povezane sisteme, ki
uporabljajo RFID
identifikacijo.
Izguba DB podatkov na
strežniku.
1
2
3
4
7
Vpliv tveganja
Tveganje
Izguba delujočega
strežnika. Ni možna
izdelava novih RFID
značk. Izguba
razpoložljivosti sistema
in podatkov.
Razpoložljivost HW Ni mogoče delo
opreme in sistema. operaterjev. Finančna
škoda. Zmanjšana
razpoložljivost sistema.
Razpoložljivost HW Zakasnjeno ukrepanje
opreme in sistema. v primeru požara.
Ogroženi zaposleni in
oprema. Posledično
zmanjšana
razpoložljivost sistema.
Izguba napajalne
Razpoložljivost
napetosti lahko
sistema in
povzroči nedelovanje
podatkov.
strežnika in zmanjša
razpoložljivost sistema.
Nepravilno oziroma
Celovitost
neavtorizirano
podatkov.
delovanje določenih
RFID kartic.Zmanjšana
celovitost podatkov.
Začasna prekinitev
Razpoložljivost
izdelave novih RFID
sistema.
kartic. Zmanjšana
razpoložljivost sistema.
Ni možna izmenjava
Razpoložljivost
podatkov na povezane
sistema.
sisteme, posledično
zmanjšana
razpoložljivost sistema.
Razpoložljivost
sistema in
podatkov.
Tveganje
Št.
Ranljivost
Grožnja
Kraja identitete.
Izguba RFID kartice s
strani uporabnika.
Prisluškovanje RFID
komunikaciji.
Zlonamerna uporaba
ali poseg.
Izdelava duplikata
RFID kartice.
Zlonamerna uporaba
ali poseg.
Prepoznava in
dostop do
konfiguracijskega
profila.
Izguba varnostnih
ključev.
Emuliranje RFID
kartice.
Zlonamerna uporaba
ali poseg.
8
9
10
11
12
Vpliv tveganja
Tveganje
Izkoriščanje avtorizacij
v RFID sistemih.
Zmanjšana zaupnost
sistema in podatkov.
Razbitje zaščitnega
Zaupnost
mehanizma prenosa
podatkov.
podatkov med kartico
in čitalnikom.
Posledično izguba
zaupnosti podatkov.
Neavtorizirano
Zaupnost sistema
delovanje večjega
in podatkov.
števila RFID kartic v
aplikacijah za RFID
identifikacijo. Izguba
zaupnosti podatkov in
sistema.
Izguba temeljne
Celovitost in
zaupnost podatkov. varnostne zaščite
sistema. Izguba
celovitosti in zaupnosti
podatkov ter sistema.
Izkoriščanje avtorizacij
Zaupnost
v RFID sistemih brez
podatkov.
uporabe ID kartic.
Zmanjšana zaupnost
podatkov.
Zaupnost sistema
in podatkov.
4
ANALIZA KONTROL
Tabela E dokumentira IT varnostne kontrole, ki so že narejene in se izvajajo ter tiste, ki so
načrtovane.
Tabela E: Varnostne kontrole
Področje kontrole
Urejene/
Planirane
Opis kontrol
1 Upravljanje tveganj
1.1. IT varnost
Vloge in
odgovornosti
U
U
U
1. Proces upravljanja tveganj v organizaciji.
2. Proces upravljanja IT tveganj v organizaciji.
3. Proces upravljanja IT procesov.
1.2. Analiza
poslovnega
vpliva
P
U
1. Analiza poslovnega vpliva sistema RFID identifikacije.
2. Uporabniške zahteve sistema RFID identifikacije.
1.3. IT Sistem
Klasifikacija
občutljivosti
podatkov
U
U
U
1. Proces upravljanja tveganj v organizaciji.
2. Proces upravljanja IT tveganj v organizaciji.
3. Klasifikacija informacij v organizaciji.
1.4. IT Sistemska
oprema
U
U
1. Proces upravljanja IT procesov.
2. Seznam IT sistemov.
1.5. Ovrednotenje
tveganj
U
U
1. Proces upravljanja tveganj v organizaciji.
2. Proces upravljanja IT tveganj v organizaciji.
1.6. IT Varnostni
pregledi
U
U
1. Proces upravljanja tveganj v organizaciji.
2. Proces upravljanja IT tveganj v organizaciji.
2 IT Planiranje
2.1. Plan
neprekinjenega
delovanja
U
U
U
1. Neprekinjeno delovanje IT sistemov in procesov.
2. Uporabniške zahteve sistema RFID identifikacije.
3. Funkcionalna specifikacija sistema RFID identifikacije.
2.2. IT postopki v
primeru izgube
podatkov
U
P
1. Plan za test obnove podatkov za IT sisteme.
2. Postopek obnove sistema in podatkov za sistem RFID
identifikacije.
2.3. IT System &
Obnova in
restavriranje
podatkov
U
P
1. Proces obnove in restavriranja podatkov za IT sisteme.
2. Postopek načina hranjenja, arhiviranja in obnove podatkov za
sistem RFID identifikacije.
3.1. HW IT Sistem
U
P
1. Standarna IT HW oprema v organizaciji.
2. Programske in strojne specifikacije sistema RFID identifikacije.
3.2. IT Sistem
Interoperativna
varnost
U
U
1. Uporabniške zahteve sistema RFID identifikacije.
2. Programske in strojne specifikacije sistema RFID identifikacije.
3.3. Zaščita proti
sovražni kodi
U
1. Centralna protivirusna zaščita za IT sisteme.
2. Izvedba kontrolnih popravkov za sistemski SW.
3 Varnost IT sistemov
Področje kontrole
Urejene/
Planirane
Opis kontrol
4 Logične dostopne pravice
4.2. Upravljanje
gesel
U
P
4.3. Oddaljeni
dostop
U
1. Postopek za upravljanje ActiveDirectory na nivoju organizacije.
2. Uporabniške zahteve sistema RFID identifikacije.
1. Postopek urejanja oddaljenih dostopov na nivoju organizacije.
5 Zaščita podatkov
4.4. Zaščita
podatkov na
medijih
U
U
U
1. Uporabniške zahteve sistema RFID identifikacije.
2. Funkcionalne zahteve sistema RFID identifikacije.
3. Programske in strojne specifikacije sistema RFID identifikacije.
4.5. Enkripcija
U
U
U
1. Uporabniške zahteve sistema RFID identifikacije.
2. Funkcionalne zahteve sistema RFID identifikacije.
3. Programske in strojne specifikacije sistema RFID identifikacije.
6 Varnost objektov
6.1. Varnost
objektov
U
U
U
1. Uporabniške zahteve za postavitev sistemskih prostorov.
2. Opis procesov, dela in postopkov v sistemskih prostorih.
3. Ocena ogroženosti objektov.
7 IT zaščita - osebje
7.1. Dostopne
pravice in
kontrola
U
U
1. Programske in strojne specifikacije sistema RFID identifikacije.
2. Urejanje in kontrola vlog na IT sistemu.
7.2. IT varnost
Opozorila in
izobraževanja
U
P
1. Postopek obveščanja v primeru IT incidentov.
2. Izobraženo osebje glede postopkov in dela v IT službi.
8 Upravljanje groženj
8.1. Identificiranje
groženj
U
U
P
1. Proces upravljanja tveganj v organizaciji.
2. Proces upravljanja IT tveganj.
3. Proces upravljanja tveganj za sistem RFID identifikacije.
8.2. Upravljanje IT
incidentov
U
1. Postopek upravljanj IT incidentov v organizaciji.
8.3. IT varnost
Monitor, prijave
U
U
1. IT sistemi za aktivno spremljanje delovanja IT sistemov in App.
2. Pravilnik urejanja politike prijav v IT sisteme.
9 Upravljanje IT sredstev
9.1. Kontrola IT HW
U
U
9.2. Upravljanje SW
licenc
U
U
U
1. Postopek urejanja področja vključitve IT opreme na mrežno
infrastrukturo.
2. Standardna IT HW oprema v organizaciji.
1. Postopek aktivnega preverjenja instalirane SW opreme na
računalniški opremi v okviru organizacije.
2. Proces centralnega upravljanja s SW licencami.
3. Standarna IT SW oprema v organizaciji.
Področje kontrole
9.3. Upravljanje
konfiguracij in
kontrol
sprememb
Urejene/
Planirane
U
U
Opis kontrol
1. Postopek upravljanja konfiguracij IT sistemov v organizaciji.
2. Postopek upravljanja kontrol sprememb v organizaciji.
Tabela F prikazuje povezavo med opredeljenimi tveganji (Tabela D ) in varnostnimi
kontrolami (Tabela E), skupaj z ostalimi ukrepi za zmanjšanje posameznega tveganja.
Tabela F: Tveganja - Kontrole - Faktorji
Št.
tveganja
Tveganje
Kontrole in ostali relevantni ukrepi
1
Izguba delujočega strežnika. Ni možna
izdelava novih RFID značk. Izguba
razpoložljivosti sistema in podatkov.
2
Ni mogoče delo operaterjev. Finančna
škoda. Zmanjšana razpoložljivost sistema.
6.1.1. Uporabniške zahteve za postavitev
sistemskih prostorov.
6.1.2. Opis procesov, dela in postopkov v
sistemskih prostorih.
3.1.1. Standarna IT HW oprema v org.
Ukrep rabe sistemov tehničnega varovanja.
6.1.2. Ocena ogroženosti objektov.
6.1.2. Ocena ogroženosti objektov.
Ukrep izvedbe protipožarnega varovanja.
3
4
Zakasnjeno ukrepanje v primeru požara.
Ogroženi zaposleni in oprema. Posledično
zmanjšana razpoložljivost sistema.
Izguba napajalne napetosti lahko povzroči
nedelovanje strežnika in zmanjša
razpoložljivost sistema.
6.1.1. Uporabniške zahteve za postavitev
sistemskih prostorov.
Ukrep izvedbe servisnega posega.
1.2.2. Uporabniške zahteve sistema RFID
identifikacije.
7.1.2. Urejanje in kontrola vlog na IT sistemu.
5
Nepravilno oziroma neavtorizirano
delovanje določenih RFID
kartic.Zmanjšana celovitost podatkov.
6
Začasna prekinitev izdelave novih RFID
kartic. Zmanjšana razpoložljivost sistema.
Ni posebnih kontrol. Izvesti ukrep alternativne
nabave.
7
Ni možna izmenjava podatkov na
povezane sisteme, posledično zmanjšana
razpoložljivost sistema.
3.1.1. Uporabniške zahteve sistema RFID
identifikacije.
3.1.2. Programske in strojne specifikacije
sistema RFID identifikacije.
Ukrep dviga organizacijske kulture.
Ukrep spoštovanja hišnega reda.
3.1.1. Uporabniške zahteve sistema RFID
identifikacije.
Izkoriščanje avtorizacij v RFID sistemih.
Zmanjšana zaupnost sistema in podatkov.
8
9
Razbitje zaščitnega mehanizma prenosa
podatkov med kartico in čitalnikom.
4.5.1. Uporabniške zahteve sistema RFID
identifikacije.
10
Posledično izguba zaupnosti podatkov.
4.5.2. Funkcionalne zahteve sistema RFID
identifikacije.
4.5.3. Programske in strojne zahteve sistema
RFID identifikacije.
Neavtorizirano delovanje večjega števila
RFID kartic v aplikacijah za RFID
identifikacijo. Izguba zaupnosti podatkov in
sistema.
4.4.1. Uporabniške zahteve sistema RFID
identifikacije.
4.4.2. Funkcionalne zahteve sistema RFID
identifikacije.
4.4.3. Programske in strojne zahteve sistema
RFID identifikacije.
Izguba temeljne varnostne zaščite
sistema. Izguba celovitosti in zaupnosti
podatkov ter sistema.
4.5.1. Uporabniške zahteve sistema RFID
identifikacije.
4.5.2. Funkcionalne zahteve sistema RFID
identifikacije.
4.5.3. Programske in strojne zahteve sistema
RFID identifikacije.
Izkoriščanje avtorizacij v RFID sistemih
brez uporabe ID kartic. Zmanjšana
zaupnost podatkov.
4.4.1. Uporabniške zahteve sistema RFID
identifikacije.
4.4.2. Funkcionalne zahteve sistema RFID
identifikacije.
4.4.3. Programske in strojne zahteve sistema
RFID identifikacije.
11
12
5
OPREDELITEV VERJETNOSTI TVEGANJ
Tabela G podaja ocenitev verjetnosti tveganj.
Tabela G: Definiranje verjetnosti tveganj
Učinkovitost vpliva
kontrol
Verjetnost pojava groženj (naravne katastrofe, grožnje okolja) ali
motiviranost in zmožnost uresničitve grožnje (človeški faktor)
Nizko
Srednje
Visoko
Nizko
Srednje
Visoko
Srednje
Visoko
Visoko
Nizko
Srednje
Visoko
Nizko
Nizko
Srednje
Tabela H podaja ovrednotenje verjetnosti tveganj. Oceni se verjetnosti ali motiviranosti, ki
vplivajo na verjetnost pojava grožnje in učinkovitost vpliva izvedenih ali planiranih kontrol.
Glede na pridobljeni oceni določimo stopnjo verjetnosti tveganja (Tabela G) za vsako
tveganje posebej.
Tabela H: Ovrednotenje verjetnosti tveganj
Risk
No.
1
2
3
Tveganje
Ocenitev verjetnosti tveganj
Ocena
verjetnosti
tveganja
Izguba delujočega
strežnika. Ni možna
izdelava novih RFID
značk. Izguba
razpoložljivosti sistema
in podatkov.
Strežnik se vključi v obstoječi IT
sistem v organizaciji kot virtualni
strežnik. Za takšen način postavitve
strežnika so že izvedeni vsi potrebni
postopki in ukrepi. Učinkovitost
kontrol je visoka. Pogostost izgub IT
HW opreme je glede na izkušnje
redka.
Nizko
Zaradi odtujitve HW
opreme ni mogoče delo
operaterjev. Finančna
škoda. Zmanjšana
razpoložljivost sistema.
Objekt, v katerem poteka delo
operaterjev, ima vzpostavljene
ukrepe tehničnega varovanja
(protivlomni sistem, sistem
pristopne kontrole) in organizacijske
ukrepe (skladišče, sef). Kontrole
sistemov za zaščito se izvajajo.
Nizko
Zakasnjeno ukrepanje v
primeru požara.
Ogroženi zaposleni in
oprema. Posledično
zmanjšana
razpoložljivost sistema.
Objekt trenutno še nima
vzpostavljenega sistema
protipožarne zaščite, je pa planiran.
Ostali ukrepi protipožarne zaščite
(gasilniki, požarni red,
izobraževanje, pot evakuacije) so
izvedeni in kontrolirani.
Srednje
Risk
No.
Tveganje
Ocenitev verjetnosti tveganj
Ocena
verjetnosti
tveganja
Izguba napajalne
napetosti lahko povzroči
nedelovanje strežnika in
zmanjša razpoložljivost
sistema.
Redundantna naprava
brezprekinitvenega napajanja (UPS)
je trenutno nedelujoča. Ukrepi v
zvezi s tem so izvedeni, popravilo
planirano. Sistem je še vedno
rezervno napajan iz primarne UPS
naprave, kontrole se izvajajo.
Srednje
Nepravilno oziroma
neavtorizirano delovanje
določenih RFID
kartic.Zmanjšana
celovitost podatkov.
Poneverba zapisa podatkov ali
napaka pri zapisu podatkov je
možna s strani človeškega faktorja
(operaterji). Izvedeni vsi ukrepi
glede izobraževanja operaterjev in
internih kontrol. Delo operaterjev
nadzorovano s strani vodje oddelka.
Nizko
Možna prekinitev dobave RFID kartic
s strani dobavitelja. Trenutno je
samo en dobavitelj. Potrebno izvesti
postopek izbire za pridobitev
alternativnega ponudnika.
Varnostna zaloga (količina RFID
kartic) se preverja dnevno.
Srednje
6
Začasna prekinitev
izdelave novih RFID
kartic. Zmanjšana
razpoložljivost sistema.
Izguba povezave med sistemom
RFID identifikacije in povezanimi
sistemi, ki uporabljajo RFID
identifikacijo, ni kritične narave, ker
so vsi sistemi vključeni v enoten IT
sistem. Skrbniki povezanih sistemov
izvajajo potrebne ukrepe, kontrole
so učinkovite. Pogostost napak je
redka, vplivali bi samo na ažurnost
podatkov.
Nizko
7
Ni možna izmenjava
podatkov na povezane
sisteme, posledično
zmanjšana
razpoložljivost sistema.
Izkoriščanje avtorizacij v
RFID sistemih.
Zmanjšana zaupnost
sistema in podatkov.
Izguba kartice je človeški faktor in
ga ne moremo zanemariti. Zaposleni
morajo glede na spoštovanje
organizacijske kulture vestno
uporabljati identifikacijska sredstva
in spoštovati hišni red (prijava
izgube, kraje). Izvedeni vsi ukrepi
(preklic delovanja kartice) in
kontrole v zvezi s tem. Pogostost je
srednja, ocenjujemo, da še vedno
previsoka.
Srednje
Uporabljena tehnologija nudi
ustrezno varnostno zaščito. Vsi
ostali ukrepi in kontrole so izvedeni.
Pogostost pojava tveganja se
ocenjuje kot nizka v okviru
organizacije.
Nizko
9
Razbitje zaščitnega
mehanizma prenosa
podatkov med kartico in
čitalnikom. Posledično
izguba zaupnosti
podatkov.
10
Neavtorizirano delovanje
večjega števila RFID
Uporabljena tehnologija nudi
ustrezno varnostno zaščito za
Nizko
4
5
8
Risk
No.
11
12
Tveganje
Ocenitev verjetnosti tveganj
Ocena
verjetnosti
tveganja
kartic v aplikacijah za
RFID identifikacijo.
Izguba zaupnosti
podatkov in sistema.
preprečitev izdelave duplikatov iz
zunanjega okolja. V okviru
organizacije so izvedeni ukrepi in
sprožene ustrezne kontrole proti
izdelavi podvojenih kartic in njihovi
uporabi. Ocena za pogostost
tveganja je nizka.
Izguba temeljne
varnostne zaščite
sistema. Izguba
celovitosti in zaupnosti
podatkov ter sistema.
Za zaščito konfiguracijskega profila
(podatki) in varnosti prenosa
podatkov (prenos) uporabljena
tehnologija nudi ustrezno zaščito.
Izvedeni so ukrepi in zaščite na
nivoju standarda in proizvajalca.
Motiviranost za uresničitev grožnje
lahko ocenimo za srednjo tudi v
okviru zunanjega okolja, elementi
učinkovitosti kontrol pa so visoki.
Nizko
Izkoriščanje avtorizacij v
RFID sistemih brez
uporabe ID kartic.
Zmanjšana zaupnost
podatkov.
Uporabljena tehnologija nudi
ustrezno varnostno zaščito. Vsi
ostali ukrepi in kontrole so izvedeni.
Pogostost pojava tveganja se
ocenjuje kot nizka v okviru
organizacije. Motiviranost se
trenutno ocenjuje z nizko oceno.
Nizko
6
ANALIZA VPLIVA
Tabela I določa oceno za uvrstitev vpliva tveganj.
Tabela I: Obrazložitev razdelitve vpliva tveganj
Obrazložitev vpliva
Vpliv
Visoko
Pojavljanje tveganja: se lahko rezultira kot težka delovna nezgoda, kot izguba
ključnih sredstev, resursov ali občutljivih podatkov, ali občutno krši, škodi ali
ovira poslovanje, poslanstvo ali ugled organizacije.
Srednje
Pojavljanje tveganja: se lahko rezultira kot nezgoda pri delu, kot stroškovna
izguba sredstev ali resursov, ali lahko pomembno krši, škodi ali ovira
poslovanje, poslanstvo ali ugled organizacije.
Nizko
Pojavljanje tveganja: se lahko rezultira kot možna stroškovna izguba nekaterih
sredstev ali resursov, ali lahko opazno vpliva na poslovanje, poslanstvo ali
ugled organizacije.
V Tabeli J so zajeti rezultati analize vpliva tveganj za vsako tveganje posebej (Tabela D)
Tabela J: Analiza vpliva tveganj
Št.
tveganja
1
2
3
4
5
6
7
Tveganje
Vpliv tveganja
Ocena vpliva
tveganja
Izguba delujočega strežnika. Ni
možna izdelava novih RFID značk.
Izguba razpoložljivosti sistema in
podatkov.
Sistem nedelujoč za
operativno delo. Na delovanje
obstoječih kartic ne vpliva. Na
delovanje povezanih sistemov
vpliva deloma.
Visoko
Ni mogoče delo operaterjev.
Finančna škoda. Zmanjšana
razpoložljivost sistema.
Ni možno operativno delo in
izdaja novih kartic. Na
delovanje obstoječih kartic ne
vpliva.
Srednje
Zakasnjeno ukrepanje v primeru
požara. Ogroženi zaposleni in
oprema. Posledično zmanjšana
razpoložljivost sistema.
Izguba napajalne napetosti lahko
povzroči nedelovanje strežnika in
zmanjša razpoložljivost sistema.
Nepravilno oziroma neavtorizirano
delovanje določenih RFID
kartic.Zmanjšana celovitost podatkov.
Začasna prekinitev izdelave novih
RFID kartic. Zmanjšana
razpoložljivost sistema.
Ni možna izmenjava podatkov na
povezane sisteme, posledično
zmanjšana razpoložljivost sistema.
Ni možno operativno delo in
izdaja novih kartic.
Srednje
Sistem nedelujoč za operativno
delo.
Visoko
Izkoriščanje avtorizranih
pravic pod lažno identiteto.
Srednje
Motena izdelava novih kartic.
Srednje
Neažurni podatki med
sistemom RFID identifikacije in
povezanim sistemom.
Srednje
Št.
tveganja
8
9
10
11
12
Tveganje
Izkoriščanje avtorizacij v RFID
sistemih. Zmanjšana zaupnost
sistema in podatkov.
Razbitje zaščitnega mehanizma
prenosa podatkov med kartico in
čitalnikom. Posledično izguba
zaupnosti podatkov.
Neavtorizirano delovanje večjega
števila RFID kartic v aplikacijah za
RFID identifikacijo. Izguba zaupnosti
podatkov in sistema.
Izguba temeljne varnostne zaščite
sistema. Izguba celovitosti in
zaupnosti podatkov ter sistema.
Izkoriščanje avtorizacij v RFID
sistemih brez uporabe ID kartic.
Zmanjšana zaupnost podatkov.
Vpliv tveganja
Ocena vpliva
tveganja
Izkoriščanje avtoriziranih
pravic pod lažno identiteto.
Srednje
Sistem ne izpoljuje več
predpisanih varnostnih zaščit.
Visoko
Sistem ne izpolnjuje več
predpisanih varnostnih zaščit.
Visoko
Sistem ne izpolnjuje več
predpisanih varnostnih zaščit.
Visoko
Sistem ne izpolnjuje več
predpisanih varnostnih zaščit.
Visoko
Opis procesov, ki so bili uporabljeni v določitvi ocene vpliva tveganj:
- Proces upravljanja tveganj v organizaciji.
- Proces delovanja IT sistemov.
- Proces IT delovanja sistema RFID identifikacije.
- Proces operativnega delovanja sistema RFID identifikacije in vloga operaterjev.
- Proces vzpostavitve potrebnih varnostnih zaščit za sistem RFID identifikacije.
DOLOČITEV TVEGANJA
7
Tabela K predpisuje kriterije, ki so uporabljeni za določitev skupne ocene tveganja.
Tabela K: Matrika ocene tveganja
Vpliv tveganja
Verjetnost tveganja
Nizko
(10)
Srednje
(50)
Visoko
(100)
Visoko
(1,0)
Nizko
10 x 1,0 = 10
Srednje
50 x 1,0 = 50
Visoko
100 x 1,0 = 100
Srednje
(0,5)
Nizko
10 x 0,5 = 5
Srednje
50 x 0,5 = 25
Srednje
100 x 0,5 = 50
Nizko
(0,1)
Nizko
Nizko
Nizko
10 x 0,1 = 1
50 x 0,1 = 5
100 x 0,1 = 10
Razpon ocen tveganj: Nizko (1–10); Srednje (> 10–50); Visoko (> 50–100)
Tabela L podaja oceno za skupno oceno tveganja na podlagi matrike iz tabele K.
Tabela L: Tabela ocenitve skupnega tveganja
Št.
tveganja
1
2
3
4
5
6
7
Tveganje
Izguba delujočega strežnika. Ni
možna izdelava novih RFID
značk. Izguba razpoložljivosti
sistema in podatkov.
Ni mogoče delo operaterjev.
Finančna škoda. Zmanjšana
razpoložljivost sistema.
Zakasnjeno ukrepanje v primeru
požara. Ogroženi zaposleni in
oprema. Posledično zmanjšana
razpoložljivost sistema.
Izguba napajalne napetosti lahko
povzroči nedelovanje strežnika in
zmanjša razpoložljivost sistema.
Nepravilno oziroma neavtorizirano
delovanje določenih RFID
kartic.Zmanjšana celovitost
podatkov.
Začasna prekinitev izdelave novih
RFID kartic. Zmanjšana
razpoložljivost sistema.
Ni možna izmenjava podatkov na
povezane sisteme, posledično
zmanjšana razpoložljivost
sistema.
Ocena
verjetnosti
tveganja
Ocena vpliva
tveganja
Ocena
skupnega
tveganja
Nizko
Visoko
Nizko
Nizko
Srednje
Nizko
Srednje
Srednje
Srednje
Srednje
Visoko
Srednje
Nizko
Srednje
Nizko
Srednje
Srednje
Srednje
Nizko
Srednje
Nizko
Št.
tveganja
8
9
10
11
12
Tveganje
Izkoriščanje avtorizacij v RFID
sistemih. Zmanjšana zaupnost
sistema in podatkov.
Razbitje zaščitnega mehanizma
prenosa podatkov med kartico in
čitalnikom. Posledično izguba
zaupnosti podatkov.
Neavtorizirano delovanje večjega
števila RFID kartic v aplikacijah za
RFID identifikacijo. Izguba
zaupnosti podatkov in sistema.
Izguba temeljne varnostne zaščite
sistema. Izguba celovitosti in
zaupnosti podatkov ter sistema.
Izkoriščanje avtorizacij v RFID
sistemih brez uporabe ID kartic.
Zmanjšana zaupnost podatkov.
Ocena
verjetnosti
tveganja
Ocena vpliva
tveganja
Ocena
skupnega
tveganja
Srednje
Srednje
Srednje
Nizko
Visoko
Nizko
Nizko
Visoko
Nizko
Nizko
Visoko
Nizko
Nizko
Visoko
Nizko
Opis procesov, ki so bili uporabljeni v določitvi skupne ocene tveganj:
.
Proces upravljanja tveganj v organizaciji.
- Proces IT delovanja sistema RFID identifikacije.
- Proces operativnega delovanja sistema RFID identifikacije in vloga operaterjev.
- Proces vzpostavitve potrebnih varnostnih zaščit za sistem RFID identifikacije.
- Proces sistema za zagotavljanje električne energije sistemskim prostorom.
- Proces zagotavljanja varnih in primernih pogojev za delo.
- Proces varovanja pred požarom v organizaciji.
PRIPOROČILA KONTROLE
8
Tabela M definira priporočila kontrole za opredeljena tveganja (Tabela D).
Tabela M: Priporočila kontrole
Št.
tveganja
1
2
3
4
5
6
7
Tveganje
Izguba delujočega
strežnika. Ni možna
izdelava novih RFID
značk. Izguba
razpoložljivosti
sistema in podatkov.
Ni mogoče delo
operaterjev. Finančna
škoda. Zmanjšana
razpoložljivost
sistema.
Zakasnjeno ukrepanje
v primeru požara.
Ogroženi zaposleni in
oprema. Posledično
zmanjšana
razpoložljivost
sistema.
Izguba napajalne
napetosti lahko
povzroči nedelovanje
strežnika in zmanjša
razpoložljivost
sistema.
Nepravilno oziroma
neavtorizirano
delovanje določenih
RFID
kartic.Zmanjšana
celovitost podatkov.
Začasna prekinitev
izdelave novih RFID
kartic. Zmanjšana
razpoložljivost
sistema.
Ni možna izmenjava
podatkov na povezane
sisteme, posledično
zmanjšana
razpoložljivost
sistema.
Ocena
tveganja
Priporočila
Nizko
Ni potrebnih priporočil. Predvideni novi
sistem RFID identifikacije se v celoti na
standarden, potrjen in preiskušen način
uvrsti v obstoječi IT sistem. Posebnosti ni.
Nizko
Lastnik sistema naj sledi predvidenim in
vzpostavljenim ukrepom za tehnično
varovanje objekta. Novo zaposleni operaterji
morajo biti izobraženi za to področje.
Srednje
Lastnik sistema naj kontrolira izvedbo
planiranega projekta za vzpostavitev
protipožarnega varovanja na objektu.
Srednje
Skrbnik sistema kontrolira izvedbo
servisnega popravila glede na predvideni
plan. Obveščanje lastnika o izvedbi.
Nizko
Srednje
Nizko
Ni posebnih priporočil.
Delovna skupina naj takoj prične z iskanjem
nadomestnega dobavitelja RFID kartic.
Skrbnik sistema izvede pred uvedbo na
produkcijo potrebne teste.
Ni posebnih priporočil.
8
9
10
11
12
Izkoriščanje avtorizacij
v RFID sistemih.
Zmanjšana zaupnost
sistema in podatkov.
Srednje
Lastnik sistema predlaga način
personalizacije kartice s potiskom in
predvidi ukrepe za preverjanje.
Kontrola spoštovanja hišnega reda.
Predlaganje predlogov vodstvu za dvig
organizacijske kulture.
Razbitje zaščitnega
mehanizma prenosa
podatkov med kartico
in čitalnikom.
Posledično izguba
zaupnosti podatkov.
Neavtorizirano
delovanje večjega
števila RFID kartic v
aplikacijah za RFID
identifikacijo. Izguba
zaupnosti podatkov in
sistema.
Izguba temeljne
varnostne zaščite
sistema. Izguba
celovitosti in zaupnosti
podatkov ter sistema.
Izkoriščanje avtorizacij
v RFID sistemih brez
uporabe ID kartic.
Zmanjšana zaupnost
podatkov.
Nizko
Skrbnik sistema stalno seznanjen z
novostmi in statusom obstoječih RFID
tehnologij.
Nizko
Skrbnik sistema stalno seznanjen z
novostmi in statusom obstoječih RFID
tehnologij.
Nizko
Skrbnik sistema stalno seznanjen z
novostmi in statusom obstoječih RFID
tehnologij.
Nizko
Skrbnik sistema stalno seznanjen z
novostmi in statusom obstoječih RFID
tehnologij.
9
DOKUMENTIRANJE REZULTATOV
Dokazilo 1: Matrika ovrednotenja tveganj
Št.
tveganja
Grožnja
Vpliv
tveganja
Sistem se
fizično nahaja
samo v enem
prostoru.
Naravna
katastrofa.
Razpoložljivost
sistema in
podatkov.
Nedelovanje
sistemov
tehničnega
varovanja.
Odtujitev
fizične
HW
opreme.
Razpoložljivost
HW opreme in
sistema.
Prostor, kjer se
nahajajo PCklienti, ni
protipožarno
varovan.
Požar.
Razpoložljivost
HW opreme in
sistema.
Trenutna
okvara
redudantne
UPS naprave
za napajanje
strežnika.
Izpad
elektr.
napetost.
Razpoložljivost
sistema in
podatkov.
Ranljivost
1
2
3
4
Ocena
verjetnosti
tveganja
Ocena vpliva
tveganja
Skupna
ocena
tveganja
Izguba
delujočega
strežnika. Ni
možna izdelava
novih RFID
značk. Izguba
razpoložljivosti
sistema in
podatkov.
Ni mogoče delo
operaterjev.
Finančna škoda.
Zmanjšana
razpoložljivost
sistema.
Nizko
Visoko
Nizko
6.1.1. Uporabniške zahteve za
postavitev sistemskih prostorov.
6.1.2. Opis procesov, dela in
postopkov v sistemskih prostorih.
Ni potrebnih priporočil.
Predvideni novi sistem
RFID identifikacije se v
celoti na standarden,
potrjen in preiskušen
način uvrsti v obstoječi
IT sistem. Posebnosti ni.
Nizko
Srednje
Nizko
3.1.1. Standarna IT HW oprema v
organizaciji.
Ukrep rabe sistemov tehničnega
varovanja.
6.1.2. Ocena ogroženosti objektov.
Lastnik sistema naj sledi
predvidenim in
vzpostavljenim ukrepom
za tehnično varovanje
objekta. Novo zaposleni
operaterji morajo biti
izobraženi za to
področje.
Zakasnjeno
ukrepanje v
primeru požara.
Ogroženi
zaposleni in
oprema.
Posledično
zmanjšana
razpoložljivost
sistema.
Izguba napajalne
napetosti lahko
povzroči
nedelovanje
strežnika in
zmanjša
razpoložljivost
sistema.
Srednje
Srednje
Srednje
6.1.2. Ocena ogroženosti objektov.
Ukrep izvedbe protipožarnega
varovanja.
Lastnik sistema naj
kontrolira izvedbo
planiranega projekta za
vzpostavitev
protipožarnega
varovanja na objektu.
Srednje
Visoko
Srednje
6.1.1. Uporabniške zahteve za
postavitev sistemskih prostorov.
Ukrep izvedbe servisnega posega.
Skrbnik sistema
kontrolira izvedbo
servisnega popravila
glede na predvideni plan.
Obveščanje lastnika o
izvedbi.
Tveganje
Analiza kontrol in ostalih
faktorjev
Priporočila
Poneverba ali
napaka zapisa
podatkov.
Sabotaža
ostalega
osebja.
Celovitost
podatkov.
Izguba
varnostne
zaloge RFID
kartic.
Prekinite
v dobave
RFID
kartic na
trgu.
Razpoložljivost
sistema.
Ni povezave na
povezane
sisteme, ki
uporabljajo
RFID
identifikacijo.
Izguba
DB
podatkov
na
strežniku
Razpoložljivost
sistema.
Kraja
identitete.
Izguba
RFID
kartice s
strani
uporabni
ka.
Zaupnost
sistema in
podatkov.
Zlonamer
na
uporaba
ali poseg.
Zaupnost
podatkov.
5
6
7
8
Prisluškovanje
RFID
komunikaciji.
9
Nepravilno
oziroma
neavtorizirano
delovanje
določenih RFID
kartic.Zmanjšana
celovitost
podatkov.
Začasna
prekinitev
izdelave novih
RFID kartic.
Zmanjšana
razpoložljivost
sistema.
Ni možna
izmenjava
podatkov na
povezane
sisteme,
posledično
zmanjšana
razpoložljivost
sistema.
Izkoriščanje
avtorizacij v RFID
sistemih.
Zmanjšana
zaupnost sistema
in podatkov.
Razbitje
zaščitnega
mehanizma
prenosa podatkov
med kartico in
čitalnikom.
Posledično
izguba zaupnosti
podatkov.
Nizko
Srednje
Nizko
1.2.2. Uporabniške zahteve
sistema RFID identifikacije.
7.1.2. Urejanje in kontrola vlog na
IT sistemu.
Ni posebnih priporočil.
Srednje
Srednje
Srednje
Ni posebnih kontrol.
Izvesti ukrep alternativne nabave.
Delovna skupina naj
takoj prične z iskanjem
nadomestnega
dobavitelja RFID kartic.
Skrbnik sistema izvede
pred uvedbo na
produkcijo potrebne
teste.
Nizko
Srednje
Nizko
3.1.1. Uporabniške zahteve
sistema RFID identifikacije.
3.1.2. Programska specifikacija
sistema RFID identifikacije.
Ni posebnih priporočil.
Srednje
Srednje
Srednje
Ukrep dviga organizacijske
kulture.
Lastnik sistema predlaga
način personalizacije
kartice s potiskom in
predvidi ukrepe za
preverjanje.
Kontrola spoštovanja
hišnega reda.
Predlaganje predlogov
vodstvu za dvig
organizacijske kulture.
Ukrep spoštovanja hišnega reda.
3.1.1. Uporabniške zahteve
sistema RFID identifikacije.
Nizko
Visoko
Nizko
4.5.1. Uporabniške zahteve
sistema RFID identifikacije.
4.5.2. Funkcionalne zahteve
sistema RFID identifikacije.
4.5.3. Programske in strojne
zahteve sistema RFID
identifikacije.
Skrbnik sistema stalno
seznanjen z novostmi in
statusom obstoječih
RFID tehnologij.
Izdelava
duplikata RFID
kartice.
Zlonamer
na
uporaba
ali poseg.
Zaupnost
sistema in
podatkov.
Prepoznava in
dostop do
konfiguracijske
ga profila.
Izguba
varnostni
h ključev.
Celovitost in
zaupnost
podatkov.
Emuliranje
RFID kartice.
Zlonamer
na
uporaba
ali poseg.
Zaupnost
podatkov.
10
11
12
Neavtorizirano
delovanje večjega
števila RFID
kartic v
aplikacijah za
RFID
identifikacijo.
Izguba zaupnosti
podatkov in
sistema.
Izguba temeljne
varnostne zaščite
sistema. Izguba
celovitosti in
zaupnosti
podatkov ter
sistema.
Nizko
Visoko
Nizko
4.4.1. Uporabniške zahteve
sistema RFID identifikacije.
4.4.2. Funkcionalne zahteve
sistema RFID identifikacije.
4.4.3. Programske in strojne
zahteve sistema RFID
identifikacije.
Skrbnik sistema stalno
seznanjen z novostmi in
statusom obstoječih
RFID tehnologij.
Nizko
Visoko
Nizko
4.5.1. Uporabniške zahteve
sistema RFID identifikacije.
4.5.2. Funkcionalne zahteve
sistema RFID identifikacije.
4.5.3. Programske in strojne
zahteve sistema RFID
identifikacije.
Skrbnik sistema stalno
seznanjen z novostmi in
statusom obstoječih
RFID tehnologij.
Izkoriščanje
avtorizacij v RFID
sistemih brez
uporabe ID kartic.
Zmanjšana
zaupnost
podatkov.
Nizko
Visoko
Nizko
4.4.1. Uporabniške zahteve
sistema RFID identifikacije.
4.4.2. Funkcionalne zahteve
sistema RFID identifikacije.
4.4.3. Programske in strojne
zahteve sistema RFID
identifikacije.
Skrbnik sistema stalno
seznanjen z novostmi in
statusom obstoječih
RFID tehnologij.